20140408 - Annonce faille de sécurité Heartbleed - OpenSSL 1.0.1

Révélée hier, Heartbleed est une sérieuse faille de sécurité de la librairie OpenSSL.

Cette dernière permet à n'importe qui d'accéder depuis internet à certaines informations stockées sur les serveurs utilisant OpenSSL et rend vulnérable toute clé privée utilisée sur un serveur (apache, nginx, postfix, etc.).

Enfin, et c'est un facteur important, il n'existe aucun moyen de savoir si vous avez été, ou non, victime d'un tel vol de données, la faille permettant aux hackers d'y accéder sans laisser aucune trace.

Les conséquences potentielles

La clé privée liée à votre certificat SSL est la base de la sécurité de vos outils web utilisant SSL/TLS. Si cette clé venait à être volée, elle pourrait être utilisée sur un site pirate copiant votre charte graphique.

Dans ce cas l'internaute n'aurait plus aucun moyen de savoir s'il se trouve sur un site de confiance, le certificat étant légitime.

En bref : une attaque MITM (Man In The Middle ou Homme du Milieu) parfaite.

Quelles versions d'OpenSSL sont, ou non, impactées ?

• OpenSSL versions 1.0.1 à 1.0.1f (incluse) sont vulnérables
• OpenSSL 1.0.1g n'est PAS vulnérable
• OpenSSL 1.0.0 n'est PAS vulnérable
• OpenSSL 0.9.8 n'est PAS vulnérable

Le bug est apparu avec la mise à disposition de OpenSSL 1.0.1 en mars 2012. Les versions vulnérables d'OpenSSL ont donc été utilisées pendant plus de 2 ans et ont été rapidement et largement adoptées par les OS les plus récents.

Une version corrigée a été publiée le 7 avril 2014.

Les OS susceptibles d'utiliser la version vulnérable d'OpenSSL

Cette liste n'est pas exhaustive !

• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mai 2012) et 5.4 (OpenSSL 1.0.1c 10 Mai 2012)
• FreeBSD 10.0 (OpenSSL 1.0.1e 11 Fév 2013)
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)
• Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 et Red Hat Storage 2.1 (OpenSSL 1.0.1e)

OS non impactés

• Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
• SUSE Linux Enterprise Server
• FreeBSD 8.4 (OpenSSL 0.9.8y 5 Fév 2013)
• FreeBSD 9.2 (OpenSSL 0.9.8y 5 Fév 2013)
• FreeBSD Ports (OpenSSL 1.0.1g -> le 7 Avr 21:46:40 2014 UTC)

Que faire ?

Dans un premier temps il faut vérifier si vous êtes ou non impacté.
Si oui, suivre la procédure en 3 temps suivante :

1. Mettre à jour votre OS serveur pour passer sur une version corrigée d'OpenSSL (rebootez ensuite)
   
   
2. Demander la refabrication gratuite de votre certificat SSL
   • 2.1. Générer une nouvelle clef privée et un nouveau CSR
   • 2.2. Utiliser notre formulaire de refabrication en cochant la case révoquer l'ancien
     
     
3. Après installation sur le serveur, si vous n'aviez pas demandé la révocation : demander la RÉVOCATION IMMÉDIATE via votre page statut

Consolider la sécurité / Stratégie de sécurité

Si votre serveur à été victime de cette faille de sécurité, il vous faudra aussi définir une stratégie de sécurité. En effet, même sur une courte période, votre serveur et tous les accès réservés (identification par identifiant / mot de passe) ont été potentiellement victimes de l'attaque de l'homme du milieu. C'est à dire que les utilisateurs, croyant être sur le bon serveur officiel, ont saisi leur codes d'accès, mais ces informations ont donc pu être interceptées pas un pirate, ce qui lui permet de revenir ensuite en toute impunité dans l'accès réservé de cet utilisateur. Il convient donc, après avoir mis à jour votre serveur et avoir révoqué les anciens certificats utilisés, de programmer un changement efficace des codes d'accès aux services ainsi sécurisés, peut être aussi mettre en place des alertes de connexions, ...

En savoir plus

• Site Heartbleed
• Heartbleed Health Report
• Conseil de sécurité OpenSSL

Liens utiles

• Générer clé privée et CSR sous OpenSSL
• Refabrication
• Accédez à votre page statut