Cela ne vous aura sans doute pas \u00e9chapp\u00e9, une faille dans la librairie Open Source OpenSSL a fait la une des m\u00e9dias.
\nCette librairie est utilis\u00e9e aussi bien c\u00f4t\u00e9 client (navigateur internet, application, smartphone, …) que c\u00f4t\u00e9 serveur pour s\u00e9curiser les \u00e9changes HTTPS d’Apache \/ Nginx ou tout autre applicatif en ligne s\u00e9curis\u00e9 SSL.<\/p>\n
Il est temps \u00e0 pr\u00e9sent de vous pr\u00e9senter les actions entreprises par DigDeo pour la gestion de cette faille.<\/p>\n
<\/p>\n
Tout le monde n’est pas concern\u00e9 par cette faille. DigDeo utilise quasi exclusivement la distribution GNU\/Linux Debian et au moment de la r\u00e9v\u00e9lation de la faille et des correctifs, toutes les versions d’OpenSSL n’\u00e9taient pas concern\u00e9es. Par exemple les clients n’ayant pas encore planifi\u00e9 la migration de Debian 6 Squeeze vers Debian 7 Wheezy ont une version d’OpenSSL qui n’est pas affect\u00e9e par cette faille. Ainsi ces serveurs n’ont pas \u00e9t\u00e9 affect\u00e9s. Les services utilisants gnuTLS \u00e0 la place d’OpenSSL n’ont pas \u00e9t\u00e9 impact\u00e9 non plus.<\/p>\n
Si vos serveurs ou vos applicatifs ont \u00e9t\u00e9 concern\u00e9s par la faille OpenSSL HeartBleed, vous avez \u00e9t\u00e9 contact\u00e9 par le support pour vous informer des actions que nous allions faire. Pour les clients concern\u00e9s par la faille, nous avons proc\u00e9d\u00e9 aux mises \u00e0 jour de s\u00e9curit\u00e9 de Debian dans les heures qui ont suivis les patchs de s\u00e9curit\u00e9. Une fois les mises \u00e0 jour faites, nous avons r\u00e9g\u00e9n\u00e9r\u00e9 tous les certificats SSL, clefs SSH, clefs GPG des serveurs concern\u00e9s.<\/p>\n
L’\u00e9tendu de l’impact de la faille s’est concentr\u00e9e tout d’abord sur les serveurs mais \u00e0 pr\u00e9sent il incombe aux d\u00e9veloppeurs d’applications sur smartphone ou ordinateur de mettre \u00e0 jour leurs applications vis \u00e0 vis de la librairie OpenSSL. A d\u00e9faut le risque est encore pr\u00e9sent. Ces applications peuvent aller du simple navigateur internet, de votre logiciel de SFTP jusqu’aux applications \u00ab\u00a0Cloud \/ SAAS\u00a0\u00bb. Il est donc important de suivre les mises \u00e0 jour de ces applications pour s’assurer que le terminal client n’est pas faillible \u00e0 Heartbleed.<\/p>\n
Il y a peu, une nouvelle est apparue indiquant qu’une autre faille similaire a \u00e9t\u00e9 d\u00e9tect\u00e9e dans OpenSSL et qu’elle est actuellement en vente. Elle permettrait de faire les m\u00eames m\u00e9faits que Heartbleed.<\/p>\n
Nous suivons actuellement de pr\u00e8s l’\u00e9volution de l’actualit\u00e9 et tous les rapports de s\u00e9curit\u00e9s \u00e9mis par diff\u00e9rentes entit\u00e9s. De plus nous mettons \u00e0 jour tous le parc de serveurs \u00e0 la moindre publication de patchs de s\u00e9curit\u00e9 \u00e9mis par l’\u00e9quipe s\u00e9curit\u00e9 de Debian. Ces mises \u00e0 jour avaient lieu 2 fois par semaine avant cet \u00e9v\u00e9nements, \u00e0 pr\u00e9sent les mises \u00e0 jour sont d\u00e9clench\u00e9es d\u00e8s la publication d’un nouveau patch.<\/p>\n
C’est la question que nos \u00e9quipes ont le plus eu ces derni\u00e8res semaines. A pr\u00e9sent que les patchs dans la librairie OpenSSL sont en place dans Debian 7 stable, le risque a \u00e9t\u00e9 tr\u00e8s fortement r\u00e9duit. Il n’est sans doute pas nul si la nouvelle faille se confirme mais comme les serveur sont maintenus \u00e0 jour \u00e0 chaque sortie de patch, le risque est tr\u00e8s faible. De plus nous n’h\u00e9siteront pas \u00e0 r\u00e9\u00e9mettre de nouveaux certificats SSL, clefs GPG ou clefs SSH si une nouvelle faille venait \u00e0 \u00eatre confirm\u00e9e.<\/p>\n","protected":false},"excerpt":{"rendered":"
Point sur les actions entreprises par DigDeo sur le parc de serveurs client vis \u00e0 vis de la faille Heartbleed d’OpenSSL.<\/p>\n","protected":false},"author":2,"featured_media":3049,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[24,16,25],"class_list":["post-2304","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-securite","tag-openssl","tag-ssl","tag-ssltls"],"_links":{"self":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/comments?post=2304"}],"version-history":[{"count":1,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2304\/revisions"}],"predecessor-version":[{"id":3050,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/posts\/2304\/revisions\/3050"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media\/3049"}],"wp:attachment":[{"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/media?parent=2304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/categories?post=2304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.digdeo.fr\/articles\/wp-json\/wp\/v2\/tags?post=2304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}