En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 26/09/2017
    Salons Solutions 2017

    Les Salons Solutions - ERP, CRM, BI et Big Data, E-achats, Demat', Serveurs & Applications…

    en détail En détail...
Appels d'offres en cours
  • Designer pour la réalisation d'un dossier technique
    A déterminer €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter masculin
    <2000 €
    > En savoir plus
  • Projet de CRM pour un consultant en gestion pour les entreprises
    A déterminer €
    > En savoir plus
Comexposium_AssisesSécurité2017_leaderboard

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom

Paessler_Restez-au-top-Securite_Pave

Mardi 8 avril, on a appris qu’une faille de sécurité d’OpenSSL, un logiciel utilisé par de très nombreux sites internet (repérez le verrou qui s’affiche lors d’un achat ou la lettre « s » accolé au http d’une adresse web), permettait d'accéder à des informations confidentielles comme les identifiants, les mots de passe et les numéros de carte bancaires des internautes.

Cette faille de sécurité critique, nommée Heartbleed, permet à un pirate de rentrer dans la mémoire du serveur du site et d’y récupérer ce type d’informations. Le CERT-Solucom, qui centralise les interventions réalisées par Solucom, cabinet indépendant de conseil en management et IT consulting, en matière de lutte contre la cybercriminalité a publié le 9 avril une liste de recommandations à destination des professionnels qui n’auraient pas encore fait une correction des bibliothèques SSL. Les voici :

1- Nous recommandons dans un premier  temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée, soit via l’utilisation d’un script :

2- Ensuite, d’appliquer les correctifs de sécurité ;

3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;

4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.

Voici les produits concernés :

OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta
Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables

CERT-Solucom prévient que de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont elles aussi vulnérables : reverse proxy, passerelle VPN, etc. Retrouvez ce bulletin de sécurité, mis à jour régulièrement ici : www.solucominsight.fr/2014/04/faille-critique-heartbleed-recommandations-du-cert-solucom/

Et pour information complémentaire, sachez que depuis http://filippo.io/Heartbleed/, vous pourrez tester si un site est vulnérable.

Auteur : Juliette Paoli

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom
Notez cet article

Laisser un commentaire

Sécuriser le Cloud public et le cloud hybride

Protéger votre cloud : Transport chiffré – VPN, Protection du périmètre, des applications etc.

Lire le Livre blanc Fortinet

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Litige Google/fisc : Edouard Philippe évoque une contribution volontaire

    Edouard Philippe n'a pas exclu ce jeudi 13 juillet que la France puisse faire appel…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Machine Learning : concept et raisons de son adoption croissante

    En mai dernier, le programme AlphaGo développé par la société DeepMind a fait parler de…

    > En savoir plus...
Etudes/Enquêtes
  • Cyberpiratés ? Les Français ne prennent pas suffisamment de mesures

    Les Français sont bien conscients des possibilités de piratages de leurs divers comptes Internet, et…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper