Articles

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSL

De nouvelles vulnérabilités concernant OpenSSL ont été rendues publiques (CVE-2016-0701 et CVE-2015-3197).

La première vulnérabilité (CVE-2016-0701) permet à un attaquant de pouvoir récupérer des informations essentielles au décryptage de la clé de chiffrement en utilisant des nombres premiers dit « non sûr » dans l’algorithme de Deffie-Hellman.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.2. Les versions en 1.0.1 ne sont pas affectées par cette vulnérabilité.

Un correctif a été apporté dans la version 1.0.2f.

La deuxième vulnérabilité (CVE-2015-3197) permet à une personne malveillante de négocier avec le chiffrement SSLv2 et de compléter la jonction SSLv2 même si la méthode de chiffrement SSLv2 a été désactivée sur le serveur.
Le protocole SSLv2 ne doit pas être désactivé via le paramètre SSL_OP_NO_SSLv2 pour que la vulnérabilité soit exploitée.
L’attaquant peut alors intercepter les communications.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.1 et 1.0.2.
Solution :
•    mettre à jour vers 1.0.1r pour les utilisateurs de la version 1.0.1
•    mettre à jour vers 1.0.2f pour les utilisateurs de la version 1.0.2

Le CERT Cyberprotect recommande à tous les utilisateurs de OpenSSL de mettre à jour leur version de OpenSSL en version 1.0.1r ou 1.0.2f.

Références :
https://www.openssl.org/news/secadv/20160128.txt
https://www.kb.cert.org/vuls/id/257823

Répertoire de téléchargement des dernières versions de OpenSSL :
https://www.openssl.org/source/

OpenSSL, ce que l’on peut dire sur la faille Heartbleed

Ces dernières 48h ont mis en émoi la communauté de la cybersécurité suite à la découverte d’une faille dans OpenSSL.

Nous souhaitons faire un point, à froid, sur ce qu’il en est de cette faille baptisée “Heartbleed”.

OpenSSL est une bibliothèque logicielle qui permet d’implémenter des fonctions cryptographiques. C’est ce qui se retrouve dans le processus de chiffrement des communications SSL/TLS (avec le fameux HTTPS).

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit ses identifiant et mot de passe, ces derniers sont chiffrés et transmis au site Internet de la banque. En cas d’interception, votre mot de passe n’apparaitra pas en clair.

La faille découverte permet d’aller lire dans la mémoire du serveur utilisant OpenSSL, les informations qu’il est en train de traiter. Ces informations apparaissent en clair !

OpenSSL est utilisé sur une grande partie des services Web.

Ainsi, bien que votre mot de passe ait été chiffré lorsque vous l’avez saisi, il peut potentiellement être lu par un tiers.

Cela signifie que si vous avez saisi votre mot de passe sur un site utilisant le protocole SSL/TLS, il a potentiellement pu être dérobé.

Par mesure de précaution, nous vous recommandons donc de changer tous vos mots de passe.

Aussi, si vous administrez des serveurs utilisant OpenSSL ou si vos équipements l’utilisent, vous êtes concerné par la mise à jour vers la dernière version qui corrige cette faille (version corrigée 1.0.1g disponible sur https://www.openssl.org/).

Les clés de chiffrement ont pu être dérobées, il est donc recommandé de regénérer les clés et renouveler les certificats.

Seules les versions OpenSSL 1.0.1 et la version OpenSSL 1.0.2-beta1 sont vulnérables.

La version OpenSSL 1.0.0l n’est pas concernée.

Le support Cyberprotect se tient à votre disposition pour tout complément d’information.

 

Plus d’information sur https://openssl.org/