La plupart des médias ont relayé l’information cette semaine. Lundi 7 avril vers 21H30, une faille importante du logiciel OpenSSL, Heartbleed, a été publiée. OpenSSL est l’implémentation open-source des protocoles SSL et TLS, qui permettent de sécuriser les échanges informatiques, notamment sur les sites Web utilisant le HTTPS.
Baptisée HeartBleed (coeur qui saigne), cette faille jugée critique permet à un assaillant de « dérober » de manière aléatoire des morceaux de la mémoire d’un serveur lors d’un échange SSL. Cette faille pourrait par exemple permettre de récupérer des mots de passe, des identifiants ou des clés privées de chiffrement.
Heartbleed : seules sont concernées les versions 1.0.1 et 1.0.2-beta de OpenSSL. La version 1.0.1g corrige cette faille.
Dans le cadre de son service d’infogérance, couvrant notamment la sécurité des systèmes, Nexylan a appliqué dès le 8 avril, le correctif OpenSSL 1.0.1g sur l’ensemble des plateformes d’hébergement de ses clients. Bien que la faille soit difficilement exploitable et ne concerne qu’une faible minorité de serveurs ayant recours au HTTPS/SSL, il nous paraissait essentiel de protéger la totalité de nos clients le plus rapidement possible. En moins de 24H, c’est donc près de 400 serveurs qui ont été mis à jour sans le moindre impact pour nos clients.
Pour toute question relative à cette faille OpenSSL HeartBleed, n’hésitez pas à contacter notre équipe de support.
Bien à vous,
Gaëtan Allart – CTO Nexylan