Comment faire face à la faille critique Heartbleed

Le point sur la méthode à mettre en place pour combler la grave faille OpenSSL de l'extension Heartbleed. Un problème qui affecte un demi-million de sites dans le monde.

Affectant 17% des sites implémentant le système de chiffrement SSL, la faille Heartbleed dont tout le monde parle depuis quelques jours (même si elle a été identifiée en 2011) peut permettre d'accéder à tout contenu chiffré sur le serveur compromis. Elle touche toutes les versions de SSL et TLS à partir du moment ou ces protocoles sont gérés par le biais de l'extension Heartbleed - conçue pour gérer les connexions SSL persistantes.

Comment faire face au problème ? Si l'on est internaute, le mieux est d'utiliser un outil d'analyse, comme celui de Qualys, qui permet de repérer un site SSL bogué, et ainsi éviter que ses transactions soient décryptées.

Du côté des directeurs techniques, la première chose à faire sera naturellement d'appliquer le correctif, qui est désormais disponible sur le site du projet OpenSSL. Deuxième étape : changer les certificats SSL utilisés par ses serveurs. Il est en effet impossible de savoir si un pirate a pu ou non y accéder. Et si c'est le cas, il a tout loisir de déchiffrer l'ensemble des communications futures du serveur, entrantes ou sortantes, utilisant les clés en question. Dans le doute, mieux vaut donc changer les certificats correspondants. Troisième mesure : faire en sorte que tous les utilisateurs du système modifient leur mot de passe.

Pour finir, il sera plus prudent d'accroître la surveillance des serveurs qui auront été compromis, et éventuellement ajouter des briques de sécurité supplémentaires. Un dispositif de type PFS (pour Perfect Forward Secrecy) pourrait notamment être le bienvenu. Il permettra d'éviter l'utilisation de clés privées compromises - en recalculant les clés entre chaque session.

A lire aussi : 

 Faille Heartbleed : quels sont les géants IT touchés

 Un demi-million de sites web touchés par la faille Heartbleed

 Heartbleed : Cisco et Juniper touchés de plein fouet

Serveurs / Faille