Informations sur la faille et l'impact sur l'hébergement Abomicro.

 La faille de sécurité "Heartbleed" fait parler d'elle en ce mois d'avril 2014. Mais qu'est-elle réellement et quel est son impact sur les solutions d'hébergement proposées par Abomicro?Heartbleed, impact sur les hébergements chez Abomicro

 

Heartbleed, une faille "0 day"

Pour commencer, il faut comprendre ce que nous appelons "faille". Il s'agit ici d'une erreur de code dans la programmation d'un logiciel. Ainsi, utilisant cette erreur, certains utilisateurs avancés peuvent détourner l'utilisation d'un logiciel. Une faille n'est donc pas à confondre avec un virus.

L'appellation "0 day", en anglais "0 jour" signifie qu'il s'agit d'une faille critique : elle doit être corrigée tout de suite (un délai de 0 jour). Dans le cas contraire, la sécurité de votre système est compromise.

En ce qui concerne le mot "Heartbleed", il faut savoir que cette faille est située dans une librairie (ensemble de codes utilisable par divers logiciels) permettant le transfert chiffré de données entre un client (votre ordinateur par exemple) et un serveur (un site web par exemple). Cette librairie en question s'appelle OpenSSL et le protocole définissant l'échange de données chiffrées s'appelle "Heartbeat" soit "battement de coeur" en anglais. Par extension, la faille a donc été nommée "Heartbleed" à savoir "saignement de coeur". Les versions d'OpenSSL concernées par cette faille sont les versions 1.0.1 et 1.0.1f sur le marché depuis mars 2012 pour la première.

La faille Heartbleed a été dévoilée en avril 2014 par la société de sécurité Codenomicon Defensics.

Risques encourus avec cette faille

La faille Heartbleed concerne donc les connexions sécurisées "https" ainsi que d'autres protocoles lorsqu'ils utilisent tels que SMTP/POP3, FTP, OpenVPN ou IRC utilisés notamment pour la communication (emails, transferts de fichiers, de données, ...). L'exploitation de cette faille permet l'interception de données (telles que des adresses, mots de passes, numéros de cartes bancaires, ...) avant que ces dernières soient chiffrées. C'est pourquoi cette faille a l'appellation "0 day".

Recommendations : comment faire face à cette faille

D'un point de vue serveur, des mises à jours supprimant la faille ont été proposées par OpenSSL dès la mise en évidence de Heartbleed. Il y a de grandes chances que votre hébergeur ait effectué ces mises à jour. C'est le cas pour Abomicro qui vous garantie l'application des mises à jour nécessaire dans le cadre de l'infogérance de vos serveurs hébergés.

De votre côté, quelques mesures peuvent être prises pour vous assurer que vous ne risquez plus rien. Tout d'abord, il vous est conseillé de modifier vos mots de passe sur les sites et comptes de messagerie que vous utilisez.

Vous pouvez également tester les sites que vous visitez sur filippo.io ou encore lastpass.com/. Attention : il se peut que le certificat de votre site ne soit pas validé s'il n'utilise pas OpenSSL. Notamment si votre site n'est pas en "https". Dans ce cas, la faille Heartbleed n'a pas d'impact.

Pour finir, il vous est également conseillé de surveiller vos comptes en banque si vous avez récemment effectué des achats en ligne.

En ce qui concerne Abomicro

Comme évoqué un peu plus haut, Abomicro a déjà effectué les mises à jour nécessaires dès leur apparition. De plus, même avant ces mises à jour, votre hébergement chez Abomicro ne pouvait pas être la cible d'attaques via cette faille. En effet, notre firewall Dell SonicWall bloquait ces accès froduleux. Aucune raison de s'inquiéter!

 

Pour tout détail supplémentaire concernant cette faille ou même toute question relative, n'hésitez pas à nous contacter.

Twitter Timeline

Témoignages

Témoignage BS Avocats Abomicro, mise en place et sécurisation communication

Abomicro a réalisé pour ce cabinet d'avocats  la mise en place et la protection de leurs systèmes de communication (téléphonie, internet).    Nous avons fait appel à Abomicro dans le cadre de notre installation professionnelle pour nous aider à mettre en place et à protéger nos systèmes de communication (téléphonie, internet).

   Pour une structure comme la nôtre, dont la spécialité est très éloignée de tous ces concepts qui sont néanmoins indispensables à l’exercice de notre profession réglementée, l’écoute, la force de proposition et la réactivité dont a su faire preuve l’équipe Abomicro ont été des qualités d’autant plus appréciées que nous étions nous même totalement absorbés par notre redéploiement professionnel.

   C’est particulièrement important, dans un tel moment, de pouvoir compter sur des spécialistes compétents qui restent proches de leurs clients, depuis l’établissement du devis jusqu’au parfait achèvement de la mission !
Caroline Stéphane-Wach
(Avocat, Associé)