A l’abri de Heartbleed ?
24 avril 2014
La faille de sécurité Heartbleed ajoutée malencontreusement – ou pas ? – à OpenSSL en mars 2012 par Robin Seggelmann permet à la NSA, la DCRI ou la DGSE un assaillant potentiel de récupérer les données échangées dans la mémoire d’un serveur utilisant un service s’appuyant sur SSL. Ce qui est vrai pour le serveur Web, le serveur de messagerie, etc… le serait aussi pour le client. Il est étrange que la faille ait été révélée par l’équipe sécurité de Google en avril 2014. Rappelons que Google édite les systèmes Android.
En dehors de la présence d’un backdoor, d’un cheval de Troie ou d’un rootkit dans les systèmes d’exploitation, il semble difficile d’aller récupérer les données sur le poste client. Pour les sites mutualisés, c’est évidemment très différent. Vous pouvez tomber sur des informaticiens très indélicats, soucieux de récupérer vos données personnelles. Cela devrait évidemment nous inciter à auto-héberger nos services de messagerie, nos serveurs Web et VPN. Avec l’infonuagique (le traduction québécoise de l’expression cloud computing), c’est évidemment tout le contraire qui est en train de se produire. Gloups !
Pour info
En faisant un yum info openssl, j’ai vu que ma Fedora 20 ne disposait toujours pas de mise à jour. En attendant que la fondation OpenBSD achève la réécriture de LibreSSL, je vous recommande chaudement d’utiliser SSH et IPSec, plutôt qu’OpenVPN.
Tester la vulnérabilité de votre site
Vous pouvez tester la vulnérabilité de vos sites en recourant à différents services :
Mes certificats ne sont pas à jour !!!
