Google Apps est protégé contre la faille OpenSSL (bug Heartbleed)

Depuis plus d'une semaine, le public a appris qu'une faille majeure de sécurité relative à OpenSSL compromet la sécurité de nombreux systèmes informatiques.
Récapitulons les faits et l'impact pour les clients Google Apps.

Le 3 Avril 2014, la société Codenomicon (qui teste la sécurité de logiciels et services) ainsi qu'un spécialiste de la sécurité chez Google ont découvert une faille touchant OpenSSL*, appelée Heartbleed.
Elle existerait depuis deux ans et a été corrigée le 7 Avril.


Concrètement, cette faille permet de lire la mémoire de systèmes protégés, d'en récupérer les clés privées et ainsi agir librement.

Dans la pratique, un informaticien mal intentionné peut récupérer des informations confidentielles au moment ou vous vous connectez à un serveur pour des emails, comptes en ligne, messagerie instantanée et même au travers de certains VPN.

Le bug Heartbleed est une erreur d'implémentation de librairies et ne remet pas en cause la façon dont OpenSSL est conçu.

Maintenant que le monde informatique est au courant, la plupart des grands acteurs du Web ont pris les mesures nécessaires.
Concernant Google, des employés étant à l'origine de la découverte, les ingénieurs ont très rapidement réagi au travers de leur blog sur la sécurité.

Google Apps a donc été mis à jour et vous n'avez rien à faire. Il est tout de même conseillé de modifier régulièrement votre mot de passe et aussi d'activer la double authentification pour un maximum de sécurité.
Chrome et Chrome OS ne sont pas impactés.

Concernant les appareils mobiles, certaines versions d'Android sont impactées. Une application permet de tester si son mobile est touché par la faille.
Ceux sous iOS (matériel Apple) ne sont pas touchés.

Pour en savoir plus sur ce bug, consulter le site officiel (en anglais) comprenant des explications avec une FAQ détaillée.


*Boite à outils de chiffrement comportant deux bibliothèques (une de cryptographie générale et une implémentant le protocole SSL), ainsi qu'un programme en ligne de commande permettant de réaliser de nombreuses opérations cryptographiques pour l’authentification. Cet utilitaire implémente les protocoles réseau Secure Sockets Layer (SSL v2/v3, Couche de sockets sécurisés) et Transport Layer Security (TLS v1, sécurité pour la couche de transport) ainsi que les standards cryptographiques liés dont ils ont besoin. (Ssl, Ipsec, Certificat numérique, Linux, Pem). (Cf openvpn).
Article précedent
Précedent »

Publiez un commentaire ! ConversionConversion EmoticonEmoticon