En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
Sigma_ebook_hybridation_leaderboard

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom

GlobalK_Azure _pave

Mardi 8 avril, on a appris qu’une faille de sécurité d’OpenSSL, un logiciel utilisé par de très nombreux sites internet (repérez le verrou qui s’affiche lors d’un achat ou la lettre « s » accolé au http d’une adresse web), permettait d'accéder à des informations confidentielles comme les identifiants, les mots de passe et les numéros de carte bancaires des internautes.

Cette faille de sécurité critique, nommée Heartbleed, permet à un pirate de rentrer dans la mémoire du serveur du site et d’y récupérer ce type d’informations. Le CERT-Solucom, qui centralise les interventions réalisées par Solucom, cabinet indépendant de conseil en management et IT consulting, en matière de lutte contre la cybercriminalité a publié le 9 avril une liste de recommandations à destination des professionnels qui n’auraient pas encore fait une correction des bibliothèques SSL. Les voici :

1- Nous recommandons dans un premier  temps de réaliser un inventaire des équipements utilisant ces bibliothèques, et de procéder à un test de vulnérabilité : soit par l’analyse de la version installée, soit via l’utilisation d’un script :

2- Ensuite, d’appliquer les correctifs de sécurité ;

3- Il est également recommandé de considérer comme compromises les informations ayant transité par ces équipements, et de forcer un renouvellement des mots de passe (utilisateurs, serveurs, etc) ;

4- La clé privée du serveur pouvant également être impactée, il est recommandé de considérer la révocation et le renouvellement des certificats concernés, à minima sur les systèmes sensibles.

Voici les produits concernés :

OpenSSL 1.0.1 à 1.0.1f et OpenSSL 1.0.2-beta
Les branches 0.9.8 et 1.0.0 ne sont pas vulnérables

CERT-Solucom prévient que de nombreuses solutions packagées et appliances reposent sur ces bibliothèques et sont elles aussi vulnérables : reverse proxy, passerelle VPN, etc. Retrouvez ce bulletin de sécurité, mis à jour régulièrement ici : www.solucominsight.fr/2014/04/faille-critique-heartbleed-recommandations-du-cert-solucom/

Et pour information complémentaire, sachez que depuis http://filippo.io/Heartbleed/, vous pourrez tester si un site est vulnérable.

Auteur : Juliette Paoli

Faille critique SSL Heartbleed : les recommandations du CERT-Solucom
Notez cet article

Laisser un commentaire

Formations Cloud Computing

Les services IT ont plus que jamais besoin de formations pour soutenir leurs processus d’amélioration continue et de performance. Global Knowledge offre un vaste catalogue de formations Cloud.

Plus d’info

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  •  Amende record de l'UE : la contre-offensive judiciaire de Google

    Google a lancé une contre-offensive envers la Commission européenne en déposant un recours contre l'amende…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cinq points clés pour bien choisir son hébergement informatique

    Pour Maxime Lenoir, business developer et expert en solutions d’hébergement chez APL, un projet d’externalisation…

    > En savoir plus...
Etudes/Enquêtes
  • RGPD : plus de la moitié des entreprises françaises non conformes, le DSI est au centre du jeu

    Un peu moins de 45 % des professionnels estiment être 100% conformes à ce jour…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
Global Knowledge_Docker_Skycraper