Faille de sécurité Heartbleed : quelle action à mener sur vos certificats ?

Révélée le 8 avril dernier, Heartbleed est une sérieuse faille de sécurité de la librairie OpenSSL.
Cette dernière permet à n’importe qui d’accéder depuis Internet à certaines informations stockées sur les serveurs utilisant OpenSSL et rend vulnérable toute clé privée utilisée sur un serveur (Apache, nginx, postfix, etc.).

Enfin, et c’est un facteur important, il n’existe aucun moyen de savoir si vous avez été, ou non, victime d’un tel vol de données, la faille permettant aux hackers d’y accéder sans laisser aucune trace.

Les conséquences potentielles

La clé privée liée à votre certificat SSL est la base de la sécurité de vos outils web utilisant SSL/TLS. Si cette clé venait à être volée, elle pourrait être utilisée sur un site pirate copiant votre charte graphique.
Dans ce cas l’internaute n’aurait plus aucun moyen de savoir s’il se trouve sur un site de confiance, le certificat étant légitime.
En bref : une attaque MITM (Man In The Middle ou Homme du Milieu) parfaite.

Quelles versions d’OpenSSL sont, ou non, impactées ?

  • OpenSSL versions 1.0.1 à 1.0.1f (incluse) sont vulnérables
  • OpenSSL 1.0.1g n’est PAS vulnérable
  • OpenSSL 1.0.0 n’est PAS vulnérable
  • OpenSSL 0.9.8 n’est PAS vulnérable

Le bug est apparu avec la mise à disposition de OpenSSL 1.0.1 en mars 2012. Les versions vulnérables d’OpenSSL ont donc été utilisées pendant plus de 2 ans et ont été rapidement et largement adoptées par les OS les plus récents.

Une version corrigée a été publiée le 7 avril 2014.

Les OS susceptibles d’utiliser la version vulnérable d’OpenSSL

Cette liste n’est pas exhaustive !

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mai 2012) et 5.4 (OpenSSL 1.0.1c 10 Mai 2012)
  • FreeBSD 10.0 (OpenSSL 1.0.1e 11 Fév 2013)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
  • Red Hat Enterprise Linux 6.5, Red Hat Enterprise Virtualization Hypervisor 6.5 et Red Hat Storage 2.1 (OpenSSL 1.0.1e)

OS non impactés

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 (OpenSSL 0.9.8y 5 Fév 2013)
  • FreeBSD 9.2 (OpenSSL 0.9.8y 5 Fév 2013)
  • FreeBSD Ports (OpenSSL 1.0.1g -> le 7 Avr 21:46:40 2014 UTC)

Que faire ?

Dans un premier temps il faut vérifier si vous êtes ou non impacté.

Si oui, suivre la procédure en 3 temps suivante :

  1. Mettre à jour votre OS serveur pour passer sur une version corrigée d’OpenSSL (rebootez ensuite)
  2. Demander la réémission gratuite de votre certificat SSL qui permet de générer une nouvelle clé privée et un nouveau CSR
  3. Après installation sur le serveur, si vous n’aviez pas demandé la révocation : demander la RÉVOCATION IMMÉDIATE.

Site d’information concernant le bug Heartbleed (en anglais) : http://heartbleed.com

Pour plus d’informations concernant les certificats SSL : contact certificatssl.org

Parmi nos clients
Appelez-nous pour vous sider à enregistrer votre certificat SSL
Symantec Gold Partner