Bug de sécurité dans OpenSSL

Heartbleed agite la Silicon Valley

| mise à jour
par helenel

Le bug dans OpenSSL, Heartbleed, a fait l'effet d'une bombe: Deux serveurs web sur trois seraient vulnérables à cette faille de sécurité. Des entreprises comme Yahoo seraient concernées.

Blutendes Herz (Quelle: Screenshot von heartbleed.com)
Blutendes Herz (Quelle: Screenshot von heartbleed.com)

Si vous avez un besoin élevé d'anonymat et de vie privée, vous devriez dans les deux prochains jours rester à l'écart d'internet.» Voilà ce qui est écrit sur le site Tor Project, qui milite pour l'anonymat en ligne, à propos de la faille de sécurité dans Open SSL. Selon The Verge, cette faille qui est passée inaperçue pendant plus de deux ans, concerne deux serveurs web sur trois.

Au cœur de la Silicon Valley, les entreprises doivent combattre: des entreprises comme Yahoo, Flickr, Imgur travaillent actuellement à protéger leurs offres contre Heartbleed. S’agissant de Yahoo par exemple, la homepage, la recherche et le service de messagerie ont notamment été affectés par l'erreur de programmation. Flickr et Tumblr, qui appartiennent aussi à Yahoo, devait également être mis à jour. Selon Yahoo, les problèmes sont maintenant résolus. Sur Github, une liste montre d'autres entreprises qui sont affectées par la faille d’Open SSL.

Les utilisateurs peuvent vérifier les sites web touchés par cette faille de sécurité à cette adresse. Apple, Dropbox, Google, Microsoft et Twitter semblent avoir été épargnés par Heartbleed.

Recommandations de Melani

Dans ce cadre, la Centrale d'enregistrement et d'analyse pour la sureté de l'information (Melani) n'a pas tardé à réagir. Elle a publié ses recommandations. Elle invite les fournisseurs de services à mettre à jour au plus vite leur bibliothèque OpenSSL avec une version OpenSSL 1.0.1g, première version dans laquelle la faille a été corrigée. Elle recommande en outre de procéder à une interruption du service lorsque «les exigences de confidentialité ou d'intégrité sont plus élevées que les besoins de disponibilité». Selon Melani, «une solution possible est de rediriger une grande partie du trafic de réseau vers les systèmes d'accès centraux (access systems), qui ont déjà été mis à jour. Puis de mettre à jour les autres systèmes progressivement, voir de placer en permanence les systèmes non actualisables derrière ces systèmes d'accès. Lors de l'installation de nouvelles mises à jour, il faut prendre soin de n'utiliser que des algorithmes sûrs. En particulier, il faut veiller à soutenir Perfect Forward Secrecy.»

Kommentare

« Plus