Bogue Heartbleed

Erreur connexe

"This server is vulnerable to Heartbleed. Update to the latest version of OpenSSL, replace the certificate on your web server or appliance, and reset end-user passwords that may have been visible in a compromised server memory" (Ce serveur est vulnérable au bogue Heartbleed. Veuillez procéder à la mise à jour avec la dernière version d’OpenSSL, remplacer le certificat sur votre serveur web ou votre appliance, puis réinitialiser les mots de passe des utilisateurs finaux qui auraient pu être visibles dans une mémoire de serveur compromise).

Problème

Le bogue Heartbleed réside dans l’extension de pulsation de la bibliothèque cryptographique OpenSSL. Les bibliothèques cryptographiques des versions 1.0.1 à 1.0.1f et 1.0.2-beta1 d’OpenSSL sont vulnérables aux attaques du bogue Heartbleed. La vulnérabilité au bogue Heartbleed est une faiblesse de la bibliothèque cryptographique d’OpenSSL. Elle permet à un attaquant d’accéder aux informations sensibles normalement protégées par les protocoles SSL et TLS.

OpenSSL est un kit de ressources qui met en œuvre les protocoles Secure Sockets Layer (SSL) et Transport Security Layer Security (TLS). Il comprend également une bibliothèque qui emploie des fonctions cryptographiques et fournit différentes fonctions utilitaires. Cette bibliothèque cryptographique est généralement mise en œuvre par les serveurs sur Internet afin de sécuriser la plupart du trafic Internet.

Un attaquant peut utiliser le bogue Heartbleed pour accéder aux éléments suivants :

  • Clés de chiffrement
    L’attaquant peut utiliser ces clés pour déchiffrer les communications sécurisée, passées et futures, avec votre site Internet et usurper votre site Internet à tout moment.
  • Identifiants utilisateur
    L’attaquant peut utiliser les noms d’utilisateur et mots de passe de vos clients pour accéder à leurs informations sécurisées via votre site Web.
  • Contenu protégé
    L’attaquant peut accéder aux informations personnelles ou financières, aux communications privées (messagerie électronique ou instantanée) et aux documents.
  • Documentation et ressources
    L’attaquant peut accéder au contenu divulgué de la mémoire, tel que les adresses mémoire et les mesures de sécurité.

Solution

Correctif logiciel

Lorsqu’il est question de protéger votre environnement contre le bogue Heartbleed, vous devez appliquer un correctif OpenSSL sur les serveurs qui exécutent des versions vulnérables de la bibliothèque d’OpenSSL.

Procédez à la mise à niveau avec la dernière version d’OpenSSL (version 1.0.1g ou ultérieure).

  • Serveurs
    Vérifiez le gestionnaire de packages pour voir s’il existe une mise à jour de package OpenSSL disponible et installez-la si tel est le cas. Dans le cas contraire, procurez-vous la dernière version d’OpenSSL auprès de votre fournisseur de service.
  • Logiciels
    Vérifiez s’il existe des correctifs de logiciel disponibles pour corriger la vulnérabilité au bogue Heartbleed et installez-les si tel est le cas. Dans le cas contraire, prenez contact avec votre fournisseur de logiciels pour vous procurer le dernier correctif et installez-le.
    Remarque : Après l’application du correctif, vous pourriez avoir besoin de redémarrer votre logiciel pour vous assurer que la bibliothèque est réinitialisé et le bogue Heartbleed supprimé.

Après l’application du correctif, vous pourriez avoir besoin de redémarrer votre logiciel pour vous assurer que la bibliothèque est réinitialisé et le bogue Heartbleed supprimé.

Si vous ne parvenez pas à mettre en œuvre la dernière version d’OpenSSL, procédez comme suit :

  • Restaurez la version 1.0.0 d’OpenSSL, ou une version antérieure.
  • Recompilez OpenSSL avec l’indicateur OPENSSL_NO_HEARTBEATS.

Vérifiez si les vulnérabilités au bogue Heartbleed sont corrigées.

Analysez de nouveau votre environnement à l’aide de DigiCert Discovery pour vous assurer que les vulnérabilités aux attaques du bogue Heartbleed ont disparu.

Recréez la clé, puis réémettez et installez les certificats

  • Recréez la clé et réémettez tous les certificats de vos serveurs affectés.
    Lorsque vous réémettez des certificats, veillez à bien générer de nouvelles demandes de signature de certificat (CSR). Consultez la page Create a CSR (Certificate Signing Request) (Créer une demande de signature de certificat, CSR).
  • Une fois les serveurs et logiciels corrigés et seulement après, installez vos certificats réémis.

Révoquez les certificats remplacés

Après avoir installé les certificats réémis, vous devez révoquer les certificats qui ont été remplacés. Pour révoquer vos certificats, prenez contact avec votre autorité de certification.

Pour les clients DigiCert, envoyez un courrier électronique à l’adresse support@digicert.com. Veillez à bien inclure le numéro de commande de votre certificat ainsi qu’une brève description de ce que vous souhaitez révoquer.

Réinitialisez les mots de passe

Si vos serveurs acceptent les mots de passe, vous devriez demander à vos clients de réinitialiser leurs mots de passe également, mais seulement après avoir appliqué les correctifs sur vos serveurs et logiciels et avoir récréé, réémis, installé et révoqué les certificats.

Si les clients réinitialisent leur mot de passe avant d’avoir appliqué les correctifs sur les serveurs et logiciels et avant d’avoir recréé, réémis, installé et révoqué leurs certificats, leurs mots de passe demeurent exposés et doivent être réinitialisés.