Informations sur la faille et l'impact sur l'hébergement Abomicro.

 La faille de sécurité "Heartbleed" fait parler d'elle en ce mois d'avril 2014. Mais qu'est-elle réellement et quel est son impact sur les solutions d'hébergement proposées par Abomicro?Heartbleed, impact sur les hébergements chez Abomicro

 

Heartbleed, une faille "0 day"

Pour commencer, il faut comprendre ce que nous appelons "faille". Il s'agit ici d'une erreur de code dans la programmation d'un logiciel. Ainsi, utilisant cette erreur, certains utilisateurs avancés peuvent détourner l'utilisation d'un logiciel. Une faille n'est donc pas à confondre avec un virus.

L'appellation "0 day", en anglais "0 jour" signifie qu'il s'agit d'une faille critique : elle doit être corrigée tout de suite (un délai de 0 jour). Dans le cas contraire, la sécurité de votre système est compromise.

En ce qui concerne le mot "Heartbleed", il faut savoir que cette faille est située dans une librairie (ensemble de codes utilisable par divers logiciels) permettant le transfert chiffré de données entre un client (votre ordinateur par exemple) et un serveur (un site web par exemple). Cette librairie en question s'appelle OpenSSL et le protocole définissant l'échange de données chiffrées s'appelle "Heartbeat" soit "battement de coeur" en anglais. Par extension, la faille a donc été nommée "Heartbleed" à savoir "saignement de coeur". Les versions d'OpenSSL concernées par cette faille sont les versions 1.0.1 et 1.0.1f sur le marché depuis mars 2012 pour la première.

La faille Heartbleed a été dévoilée en avril 2014 par la société de sécurité Codenomicon Defensics.

Risques encourus avec cette faille

La faille Heartbleed concerne donc les connexions sécurisées "https" ainsi que d'autres protocoles lorsqu'ils utilisent tels que SMTP/POP3, FTP, OpenVPN ou IRC utilisés notamment pour la communication (emails, transferts de fichiers, de données, ...). L'exploitation de cette faille permet l'interception de données (telles que des adresses, mots de passes, numéros de cartes bancaires, ...) avant que ces dernières soient chiffrées. C'est pourquoi cette faille a l'appellation "0 day".

Recommendations : comment faire face à cette faille

D'un point de vue serveur, des mises à jours supprimant la faille ont été proposées par OpenSSL dès la mise en évidence de Heartbleed. Il y a de grandes chances que votre hébergeur ait effectué ces mises à jour. C'est le cas pour Abomicro qui vous garantie l'application des mises à jour nécessaire dans le cadre de l'infogérance de vos serveurs hébergés.

De votre côté, quelques mesures peuvent être prises pour vous assurer que vous ne risquez plus rien. Tout d'abord, il vous est conseillé de modifier vos mots de passe sur les sites et comptes de messagerie que vous utilisez.

Vous pouvez également tester les sites que vous visitez sur filippo.io ou encore lastpass.com/. Attention : il se peut que le certificat de votre site ne soit pas validé s'il n'utilise pas OpenSSL. Notamment si votre site n'est pas en "https". Dans ce cas, la faille Heartbleed n'a pas d'impact.

Pour finir, il vous est également conseillé de surveiller vos comptes en banque si vous avez récemment effectué des achats en ligne.

En ce qui concerne Abomicro

Comme évoqué un peu plus haut, Abomicro a déjà effectué les mises à jour nécessaires dès leur apparition. De plus, même avant ces mises à jour, votre hébergement chez Abomicro ne pouvait pas être la cible d'attaques via cette faille. En effet, notre firewall Dell SonicWall bloquait ces accès froduleux. Aucune raison de s'inquiéter!

 

Pour tout détail supplémentaire concernant cette faille ou même toute question relative, n'hésitez pas à nous contacter.

Twitter Timeline

Témoignages

Net Comme Web Romain Rozier

Abomicro réalise pour cette agence web de l’hébergement web, des prestations de sécurité et de la sauvegarde de données. Je fais appelle à Abomicro en premier lieu pour leur compétence, à cela s'ajoutent la réactivité, la confiance et un degré d'implication rarement égalé ailleurs. En plus, Abomicro nous laisse au quotidien, l'opportunité de nous concentrer sur notre cœur de métier, à savoir le développement de sites web, et ainsi d'augmenter notre productivité. Net Comme Web Romain RozierRomain Rozier
(Gérant)