Afin de répondre aux nombreuses questions de nos clients quant à la faille HeartBleed, 3T vous communique l’essentiel de ce qu’il faut savoir sur ce sujet.

Le 7 avril 2014, une faille de sécurité au sein du protocole Open Source «OpenSSL », nommée HeartBleed a été signalée. Cette faille concerne toutes les versions des logiciels OpenSSL suivant leur mode d’installation sorties en mars 2012, soit donc il y a plus de deux ans.

Qu’est-ce que le protocole Open SSL :

Le logiciel libre OpenSSL est installé sur les serveurs de très nombreux sites pour établir des connexions chiffrées et sécurisées entre ce dernier et ses utilisateurs. De très nombreux sites Internet utilisent OpenSSL pour sécuriser leurs échanges. Par exemple, on peut vérifier si le certificat est émis par OpenSSL sur un site web en cliquant sur le verrou.

Quelles sont les mesures à appliquer pour les entreprises :

Sécurité à l’intérieur de l’entreprise :

Tout d’abord, Il est nécessaire de référencer l’ensemble des sites à l’intérieur de votre réseau utilisant OpenSSL et appliquer, pour ceux concernés, les mises à jour de sécurité.

NB : Certains éditeurs comme DigiCert mettent à disposition de leurs clients des outils permettant d’identifier des éventuelles failles d’OpenSSL dans le réseau de l’entreprise.

Sécurité à l’extérieur de l’entreprise :

3T vous suggère également de communiquer à tous vos collaborateurs sur la nécessité de changer les mots de passe sur les sites web externes à l’entreprise concernés par cette faille.

Quels sont les principaux sites concernés ?

•    Google : Gmail, YouTube, Wallet, Google Play, Apps, et App Engine
•    Dropbox
•    Yahoo : Yahoo Mail, Flickr et Tumblr
•    Facebook
•    Twitter
•    Amazon Web Services

Ces sites ont d’ores et déjà annoncé avoir fait les correctifs nécessaires. Néanmoins, cette faille ayant duré plus de deux ans, il est nécessaire de changer les mots de passe.

Principaux sites non concernés par cette faille :

•    Microsoft, Hotmail/Outlook
•    LinkedIn
•    Apple
•    Amazon
•    eBay
•    PayPal

Par mesure de sécurité, 3T vous conseille de changer vos mots de passe sur tous les sites web contenant des données sensibles ou informations de paiement.

Cliquer sur ce lien, pour connaître la liste exhaustive de tous les sites web où il faut changer vos mots de passe.

 

N’hésitez pas à nous contacter pour tout renseignement complémentaire sur la faille HeartBleed ou pour tout conseil quant à la mise en place d’une politique de sécurité.