Au début du mois d’Avril la librairire OpenSSL, utilisée par près de 80% des sites web mondiaux, a révélé une faille de sécurité majeure.
Nous vous proposons de retrouver ici les patchs, plug-ins, outils de test et autres conseils, qui vous seront utiles pour ne faire de Heartbleed qu’un mauvais souvenir.

Serveurs webs, VPN, proxy, l’inventaire de tous les systèmes potentiellement touchés par Heartbleed est long et fastidieux.
Une fois celui-ci réalisé, voici quelques solutions concrètes pour vous aider à mesurer les risques encourus et à protéger votre système d’information.

heartbleed atout dsi

1. Correctif OpenSSL

La communauté de développeurs qui soutient le projet OpenSource OpenSSL a déjà apporté un correctif à la version défectueuse, vous trouverez ici la version 1.0.1g.

2. Add-on Chrome & Firefox

Les navigateurs Chrome et Firefox ont mis à disposition de leurs utilisateurs des add-on permettant d’évaluer la vulnérabilité des sites visités : Chromebleed  et Netcraft.

3. Outils Qualys & McAfee

Qualys et McAfee ont édité à l’occasion de la faille Heartbleed deux outils dédiés, afin de tester la vulnérabilité de vos processus.

4. Confidentialité des serveurs

Certains serveurs (trop peu !) offrent le service de confidentialité persistante (forward secrecy). Cette option vous permettra de sécuriser vos données présentes, mais également les données passées qui auraient pu être compromises.

5. Les bonnes pratiques

Vous avez pris les devants et décidé de déminer le sujet Heartbleed, peut-être que ce n’est pas le cas de tous vos partenaires et prestataires ! N’hésitez pas à partager avec eux les bonnes pratiques en la matière.

6. Identifiants & mots de passe

Au cours des derniers mois vous avez pu visiter certains sites ou utiliser certains processus corrompus. C’est le moment idéal pour changer vos mots de passe et identifiants de connexion.

Exemple d’utilisation de l’outil Qualys

heartbleed resume.png

Atout DSI