20140408 - Annonce faille de sécurité Heartbleed - OpenSSL 1.0.1
Révélée hier, Heartbleed est une sérieuse faille de sécurité de la librairie OpenSSL.
Cette dernière permet à n'importe qui d'accéder depuis internet à certaines informations stockées sur les serveurs utilisant OpenSSL et rend vulnérable toute clé privée utilisée sur un serveur (apache, nginx, postfix, etc.).
Enfin, et c'est un facteur important, il n'existe aucun moyen de savoir si vous avez été, ou non, victime d'un tel vol de données, la faille permettant aux hackers d'y accéder sans laisser aucune trace.
Les conséquences potentielles
La clé privée liée à votre certificat SSL est la base de la sécurité de vos outils web utilisant SSL/TLS. Si cette clé venait à être volée, elle pourrait être utilisée sur un site pirate copiant votre charte graphique.
Dans ce cas l'internaute n'aurait plus aucun moyen de savoir s'il se trouve sur un site de confiance, le certificat étant légitime.
En bref : une attaque MITM (Man In The Middle ou Homme du Milieu) parfaite.
Quelles versions d'OpenSSL sont, ou non, impactées ?
- OpenSSL versions 1.0.1 à 1.0.1f (incluse) sont vulnérables
- OpenSSL 1.0.1g n'est PAS vulnérable
- OpenSSL 1.0.0 n'est PAS vulnérable
- OpenSSL 0.9.8 n'est PAS vulnérable
Le bug est apparu avec la mise à disposition de OpenSSL 1.0.1 en mars 2012. Les versions vulnérables d'OpenSSL ont donc été utilisées pendant plus de 2 ans et ont été rapidement et largement adoptées par les OS les plus récents.
Une version corrigée a été publiée le 7 avril 2014.
Les OS susceptibles d'utiliser la version vulnérable d'OpenSSL
Cette liste n'est pas exhaustive !
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mai 2012) et 5.4 (OpenSSL 1.0.1c 10 Mai 2012)
- FreeBSD 10.0 (OpenSSL 1.0.1e 11 Fév 2013)
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
- Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 et Red Hat Storage 2.1 (OpenSSL 1.0.1e)
OS non impactés
- Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
- SUSE Linux Enterprise Server
- FreeBSD 8.4 (OpenSSL 0.9.8y 5 Fév 2013)
- FreeBSD 9.2 (OpenSSL 0.9.8y 5 Fév 2013)
- FreeBSD Ports (OpenSSL 1.0.1g -> le 7 Avr 21:46:40 2014 UTC)
Que faire ?
Dans un premier temps il faut vérifier si vous êtes ou non impacté.
Si oui, suivre la procédure en 3 temps suivante :
- Mettre à jour votre OS serveur pour passer sur une version corrigée d'OpenSSL (rebootez ensuite)
- Demander la refabrication gratuite de votre certificat SSL
- 2.1. Générer une nouvelle clef privée et un nouveau CSR
- 2.2. Utiliser notre formulaire de refabrication en cochant la case révoquer l'ancien
- Après installation sur le serveur, si vous n'aviez pas demandé la révocation : demander la RÉVOCATION IMMÉDIATE via votre page statut