Une vulnérabilité Open SSL patchée pour protéger les transferts de données cryptées

April 2014


Une faille présentant un danger potentiel a été découverte dans les bibliothèques d’OpenSSL, qui déclenchera probablement des réactions allant de la légère inquiétude à de sérieuses discussions dans le secteur de la sécurité.

Nous vous recommandons la prudence face à la sérieuse menace de sécurité que constitue Heartbleed

Une faille présentant un danger potentiel a été découverte dans les bibliothèques d’OpenSSL, qui déclenchera probablement des réactions allant de la légère inquiétude à de sérieuses discussions dans le secteur de la sécurité. Nous ne pouvons actuellement pas mesurer l’ampleur des dommages, ni même savoir s’il y en a eu, mais Bitdefender recommande à ses clients de faire preuve de prudence.

Le bug Heartbleed pouvait permettre à toute personne connaissant son existence d’accéder librement à des sites web sécurisés utilisant certaines versions d’OpenSSL, employées pour le cryptage de SSL (Secure Sockets Layer) et TLS (Transport Security Layer). Ainsi, un attaquant pouvait accéder à un site sécurisé, dérober des informations confidentielles que l’on croyait protégées et repartir sans laisser de trace.

Les protocoles SSL et TLS sont utilisés pour protéger les e-mails, les applications Web, certains réseaux privés virtuels (VPN), services de messagerie etc. Cela signifie que des cybercriminels pourraient s’être emparés de clés de chiffrement, de messages personnels, de mots de passe, de documents confidentiels et de quasiment tout ce que les utilisateurs considéraient comme étant protégé.

Il est assez difficile d’évaluer le nombre de personnes ou de sites Internet mis en danger par Heartbleed mais OpenSSL est la bibliothèque de cryptage par défaut des logiciels de serveur Apache et Nginx, qui, selon l’étude sur les serveurs web d’avril 2014 de Netcraft, sont utilisés par 66% des sites dans le monde.

Le risque n’est cependant pas présent pour tous. Le bug se trouve dans les versions publiées à partir de décembre 2011. OpenSSL informe dans une note que les « versions bêta 1.0.1 et 1.0.2 d’OpenSSL sont affectées y compris la 1.0.1f et 1.0.2-beta1 et que les utilisateurs concernés devraient mettre à niveau vers OpenSSL 1.0.1g ».

Bitdefender a déjà pris toutes les mesures nécessaires et nous vous recommandons les actions suivantes en matière de sécurité :

· Les clients des solutions hébergées Bitdefender pour Entreprises (in the Cloud) devraient changer leurs mots de passe.

· Les clients des solutions Bitdefender pour Entreprises sur site (on premise) devraient mettre à jour leurs produits et changer leurs mots de passe.

- Nous conseillons aux utilisateurs de faire preuve de prudence même lorsqu’ils utilisent des sites qu’ils considèrent comme sûrs.


Share This ON: