La librairie OpenSSL servant de base à la sécurisation de beaucoup de flux pour les sites internet, la messagerie et d’autres services a une nouvelle fois été mise à mal.
Néanmoins il s’agit plus d’une faiblesse d’une des sécurités implémenté récemment que d’une véritable faille. En effet depuis quelques versions OpenSSL va tenter de trouver une chaîne de certification de remplacement si le cheminement normal échoue. Mais la tentative de recherche de chaîne de remplacement comporte une faiblesse qui pourrait permettre à un attaquant de lever certaines vérifications sur des certificats tiers comme ceux de l’autorité de certification.
Risque d’une mise à jour OpenSSL non appliquée
Le risque c’est de faire accepter un certificat non valide ou auto signé pour permettre un accès MITM Man In The Middle pour intercepter les communications.
Les versions affectées par cette faiblesse sont : OpenSSL 1.0.1n, 1.0.1o, 1.0.2b et 1.0.2c
Les versions corrigeant ce problèmes sont 1.0.1p et 1.0.2d.
Bien entendu la mise à jour quotidienne avec l’infogérance des serveurs de nos clients a permis de corriger la faiblesse en quelques minutes une fois les correctifs disponibles.
