En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour de la vente de prêt-à-porter
    < 6 000 €
    > En savoir plus
  • Développement d'une plateforme de mise en relation pour un assembleur de compétences au service des commerçants
    A déterminer €
    > En savoir plus
  • Styliste/Modéliste pour la création de modèles de vêtements pour femmes
    A déterminer €
    > En savoir plus
Tessi_Cetia_leaderboard

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom

ITrust_SOC_pave

Mardi 8 avril, on a appris qu’une faille de sécurité d’OpenSSL, un logiciel utilisé par de très nombreux sites internet (repérez le verrou qui s’affiche lors d’un achat ou la lettre « s » accolé au http d’une adresse web), permettait d'accéder à des informations confidentielles comme les identifiants, les mots de passe et les numéros de carte bancaires des internautes.

Cette faille de sécurité critique, nommée Heartbleed, permet à un pirate de rentrer dans la mémoire du serveur du site et d’y récupérer ce type d’informations. Le CERT-Solucom, qui centralise les interventions réalisées par Solucom, cabinet indépendant de conseil en management et IT consulting, en matière de lutte contre la cybercriminalité a publié le 9 avril une liste de recommandations à destination des professionnels qui n’auraient pas encore fait une correction des bibliothèques SSL. Les voici :

1- Nous recommandons dans un premier  temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée, soit via l’utilisation d’un script :

2- Ensuite, d’appliquer les correctifs de sécurité ;

3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;

4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.

Voici les produits concernés :

OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta
Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables

CERT-Solucom prévient que de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont elles aussi vulnérables : reverse proxy, passerelle VPN, etc. Retrouvez ce bulletin de sécurité, mis à jour régulièrement ici : www.solucominsight.fr/2014/04/faille-critique-heartbleed-recommandations-du-cert-solucom/

Et pour information complémentaire, sachez que depuis http://filippo.io/Heartbleed/, vous pourrez tester si un site est vulnérable.

Auteur : Juliette Paoli

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

  • La sécurité des données

    Spécial Assises de la sécurité 2017 - DSI et RSSI témoignent Gouvernance des données numériques…

Témoignages
Juridique
  • La blockchain : un outil juridique bientôt incontournable ?

    Alors que le ministre de l’Economie et des Finances Bruno Le Maire, a présenté le…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Failles Meltdown et Spectre : "Des erreurs graves dans les composants électroniques", selon Hervé Schauer, expert en cybersécurité

    Lorsque nous avons publié notre enquête à la mi-décembre sur les failles découvertes dans les…

    > En savoir plus...
Etudes/Enquêtes
  • Applications choisies par les salariés = productivité en hausse

    Laisser les employés utiliser plus largement les applications de leur choix accroît leur productivité, selon…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Cloud Public

    > Voir le livre
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
Primobox_Demat RH_skycraper 1