Catégories
Sécurité

Faille Heartbleed OpenSSL le point

Point sur les actions entreprises par DigDeo sur le parc de serveurs client vis à vis de la faille Heartbleed d’OpenSSL.

Cela ne vous aura sans doute pas échappé, une faille dans la librairie Open Source OpenSSL a fait la une des médias.
Cette librairie est utilisée aussi bien côté client (navigateur internet, application, smartphone, …) que côté serveur pour sécuriser les échanges HTTPS d’Apache / Nginx ou tout autre applicatif en ligne sécurisé SSL.

Il est temps à présent de vous présenter les actions entreprises par DigDeo pour la gestion de cette faille.

Suis je concerné?

Tout le monde n’est pas concerné par cette faille. DigDeo utilise quasi exclusivement la distribution GNU/Linux Debian et au moment de la révélation de la faille et des correctifs, toutes les versions d’OpenSSL n’étaient pas concernées. Par exemple les clients n’ayant pas encore planifié la migration de Debian 6 Squeeze vers Debian 7 Wheezy ont une version d’OpenSSL qui n’est pas affectée par cette faille. Ainsi ces serveurs n’ont pas été affectés. Les services utilisants gnuTLS à la place d’OpenSSL n’ont pas été impacté non plus.

Si vos serveurs ou vos applicatifs ont été concernés par la faille OpenSSL HeartBleed, vous avez été contacté par le support pour vous informer des actions que nous allions faire. Pour les clients concernés par la faille, nous avons procédé aux mises à jour de sécurité de Debian dans les heures qui ont suivis les patchs de sécurité. Une fois les mises à jour faites, nous avons régénéré tous les certificats SSL, clefs SSH, clefs GPG des serveurs concernés.

L’après Heartbleed

L’étendu de l’impact de la faille s’est concentrée tout d’abord sur les serveurs mais à présent il incombe aux développeurs d’applications sur smartphone ou ordinateur de mettre à jour leurs applications vis à vis de la librairie OpenSSL. A défaut le risque est encore présent. Ces applications peuvent aller du simple navigateur internet, de votre logiciel de SFTP jusqu’aux applications « Cloud / SAAS ». Il est donc important de suivre les mises à jour de ces applications pour s’assurer que le terminal client n’est pas faillible à Heartbleed.

Il y a peu, une nouvelle est apparue indiquant qu’une autre faille similaire a été détectée dans OpenSSL et qu’elle est actuellement en vente. Elle permettrait de faire les mêmes méfaits que Heartbleed.

Nous suivons actuellement de près l’évolution de l’actualité et tous les rapports de sécurités émis par différentes entités. De plus nous mettons à jour tous le parc de serveurs à la moindre publication de patchs de sécurité émis par l’équipe sécurité de Debian. Ces mises à jour avaient lieu 2 fois par semaine avant cet événements, à présent les mises à jour sont déclenchées dès la publication d’un nouveau patch.

Y a t-il un risque de passer sous Debian 7 maintenant?

C’est la question que nos équipes ont le plus eu ces dernières semaines. A présent que les patchs dans la librairie OpenSSL sont en place dans Debian 7 stable, le risque a été très fortement réduit. Il n’est sans doute pas nul si la nouvelle faille se confirme mais comme les serveur sont maintenus à jour à chaque sortie de patch, le risque est très faible. De plus nous n’hésiteront pas à réémettre de nouveaux certificats SSL, clefs GPG ou clefs SSH si une nouvelle faille venait à être confirmée.