[technique] Bug Heartbleeg sur OpenSSL

[Solarus]

Bonjour à tous.

Comme signalé par Alexandre sur la ML Tetalab, une faille nommée
"Heartbleed" a été découverte sur OpenSSL http://heartbleed.com/

Cette faille dans le mécanisme "Heartbeat" permet d'extraire 64kb de
données au serveur à chaque tentative. L'une après l'autres ces tentatives
peuvent permettre de récupérer la clé privée du serveur, mettant en danger
le certificat SSL du serveur ainsi que le chiffrement des données échangées.

La faille est publique depuis cette nuit mais elle était dans la nature
depuis 2012.
Sont concernées les versions de OpenSSL de 1.0.1 à 1.0.1f. Les versions
antérieures et ultérieures ne sont pas impactées.
Pour les versions vulnérables, la plupart des distributions Linux
distribuent un patch, correspondant au binaire d'OpenSSL recompilé sans
l'option "Heartbeat", ce qui inhibe la faille.

Face à cette faille voici quelques opérations à mettre en oeuvres :

1°) Vérifier si les serveurs que vous contactez sont vulnérables ou non :
http://filippo.io/Heartbleed/

2°) Vérifiez que vous négociez le Perfect Forward Secrecy avec le serveur
(en utilisant l'extension Calomel SSL par ex) pour éviter l'interception
des données.

3°) Si vous gérez un serveur, mettez à jour votre OS et redémarrez vos
services crypto et web. Je recommande même un redémarrage global de la
machine.

4°) Si vos certificats SSL protègent des choses sensibles, révoquez les
anciens certificats et générez des nouveaux. Profitez en pour utiliser
sha256 comme digest, le sha-1 utilisé par défaut est désormais considéré
comme trop faible.

Cordialement
Solarus
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20140408/e511fa88/attachment.htm>