<div dir="ltr"><div><div><div><div><div><div>Bonjour à tous.<br><br>Comme signalé par Alexandre sur la ML Tetalab, une faille nommée "Heartbleed" a été découverte sur OpenSSL <a href="http://heartbleed.com/">http://heartbleed.com/</a><br>
<br></div>Cette faille dans le mécanisme "Heartbeat" permet d'extraire 64kb de données au serveur à chaque tentative. L'une après l'autres ces tentatives peuvent permettre de récupérer la clé privée du serveur, mettant en danger le certificat SSL du serveur ainsi que le chiffrement des données échangées.<br>
<br></div>La faille est publique depuis cette nuit mais elle était dans la nature depuis 2012.<br></div>Sont concernées les versions de OpenSSL de 1.0.1 à 1.0.1f. Les versions antérieures et ultérieures ne sont pas impactées.<br>
</div>Pour les versions vulnérables, la plupart des distributions Linux distribuent un patch, correspondant au binaire d'OpenSSL recompilé sans l'option "Heartbeat", ce qui inhibe la faille.<br></div><br>
Face à cette faille voici quelques opérations à mettre en oeuvres :<br><br>1°) Vérifier si les serveurs que vous contactez sont vulnérables ou non : <a href="http://filippo.io/Heartbleed/" target="_blank">http://filippo.io/Heartbleed/</a><br>

<br>2°) Vérifiez que vous négociez le Perfect Forward Secrecy avec
 le serveur (en utilisant l'extension Calomel SSL par ex) pour éviter 
l'interception des données. <br><br>3°) Si vous gérez un serveur, 
mettez à jour votre OS et redémarrez vos services crypto et web. Je 
recommande même un redémarrage global de la machine.<br>
<br>4°) Si vos certificats SSL protègent des choses sensibles, 
révoquez les anciens certificats et générez des nouveaux. Profitez en 
pour utiliser sha256 comme digest, le sha-1 utilisé par défaut est 
désormais considéré comme trop faible.<br><br></div>Cordialement<br>Solarus<br><div>
<br></div></div>