Heartbleed : comment s’en protéger ?

Une vulnérabilité récemment découverte dans l’une des implémentations les plus couramment utilisées dans les protocoles SSL et TLS présente un danger immédiat pour les serveurs non patchés. La faille, aujourd’hui connue sous le nom de « Heartbleed », permet aux attaquants d’intercepter des communications sécurisées et de voler des informations sensibles telles que des identifiants de connexion, des données personnelles ou des clés de décryptage.

Heartbleed affecte un composant de Open SSL (Heartbeat), l’une des implémentations les plus utilisées des protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security). Heartbeat est une extension du protocole TLS qui permet à une session TLS de rester active, même si aucune communication réelle n’a lieu pendant un certain temps. Cette fonction vérifie que deux ordinateurs sont toujours connectés et disponibles pour des communications. Pour l’utilisateur, cela lui permet de ne pas avoir à ressaisir ses identifiants pour établir une autre connexion sécurisée si celle d’origine est supprimée.

Comment fonctionne Heartbleed ?

heartbleed-explained_02

Heartbleed est sans conteste la vulnérabilité SSL/TLS la plus sérieuse jamais découverte. Étant donné la nature du bug et le fait qu’il affecte l’une des implémentations SSL/TLS les plus utilisées, le risque est aujourd’hui immédiat.

Conseils pour les entreprises :

  • Toute entreprise qui utilise la version OpenSSL 1.0.1 à la version 1.0.1f doit impérativement faire la mise à jour avec la dernière version corrigée du logiciel (1.0.1g), ou recompiler OpenSSL sans l’extension heartbeat
  • Après la mise à jour, si les entreprises pensent que leurs certificats du serveur web ont été compromis ou volés suite à l’exploitation de cette faille, elles peuvent contacter l’autorité de certification pour effectuer un remplacement
  • Enfin, les entreprises doivent également envisager la réinitialisation des mots de passe des utilisateurs qui peuvent être visibles dans la mémoire d’un serveur compromis.

Conseils pour les consommateurs :

  • Les utilisateurs doivent savoir que leurs données sont potentiellement visibles par des tiers s’ils utilisent un opérateur vulnérable
  • Surveiller les alertes des fournisseurs : lorsqu’une vulnérabilité est découverte, les fournisseurs doivent communiquer auprès de leurs consommateurs et leur demander de changer leurs mots de passe. Les utilisateurs doivent suivre ces consignes
  • Eviter tout email de phishing potentiel demandant le changement des mots de passe : s’en tenir aux sites et noms de domaine officiels seulement
  • Ne visiter que des sites et utiliser des services réputés qui corrigent immédiatement les vulnérabilités détectées
  • Surveiller les comptes bancaires et cartes de crédit pour vérifier toutes transactions inhabituelles
Dans :International, Sécurité, Une Tags: 

Sur le même thème :

Attaques ciblées : +91% en 2013 Attaques ciblées : +91% en 2013
Symantec / Storage Foundation 6.1 : vers le SSD dans le datacenter Symantec / Storage Foundation 6.1 : vers le SSD dans le datacenter
Symantec / Amit Mital nommé CTO Symantec / Amit Mital nommé CTO
2014 : sécurité, cyber-corsaires, infrastructures critiques, applications mobiles pour Symantec 2014 : sécurité, cyber-corsaires, infrastructures critiques, applications mobiles pour Symantec

Laisser une réponse

Submit Comment

© 2019 IT Pro News. Tous droits réservés. XHTML / CSS Valide.
Fièrement propulsé par Theme Junkie.