Importante faille de sécurité dans OpenSSL : les recommandations de l’ANSSI


A la suite de la découverte de la faille de sécurité dans OpenSSL baptisée Heartbleed, le CERT-FR a publié un bulletin d’alerte (régulièrement mis à jour) et un bulletin d’actualité.

L’ANSSI conseille vivement la lecture de ces documents qui recensent les recommandations pour protéger la confidentialité des données.

Les trois principales mesures sont :

  • vérifier la présence sur les serveurs connectés à Internet d’une version OpenSSL vulnérable. Le cas échéant, mettre à jour OpenSSL avec la version 1.0.1g (ou version plus récente) corrigeant cette vulnérabilité.
  • en cas de suspicion de compromission des clefs de chiffrement, révoquer les certificats correspondants et régénérer les clefs.
  • changer les mots de passe d’authentification sur les services en ligne (sites de commerce en ligne, banques, réseaux sociaux, etc.)