Une faille critique vient d’être rendue publique sur OpenSSL (Heartbleed).

Tester votre vulnérabilité ici : http://neo.icodia.com/fr/solutions/tests/heartbleed.html

Elle permet à un attaquant de récupérer des données censées être cryptées en clair (identifiant, mot de passe, numéro de carte bancaires, etc.). 

Elle permet également de bloquer un serveur web en envoyant des requêtes non fermantes, ce qui sollicite tous les slots  disponibles et bloque ensuite l’accès au serveur pour les connections légitimes.

Vous trouverez plus de détails sur cette faille ici:

http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html

Clients Icodia : 

Vous êtes hébergé sur notre plateforme mutualisée : 
-> vous n’êtes pas impacté

Forfaits IcoPacks Mel, IcoPacks Perso, IcoPacks Web, IcoPacks Multis et Dev

En effet , nos serveurs ne sont pas sensibles à la faille Heartbleed, cette faille est exploitable uniquement pour les versions1.0.0-fips, 1.0.1.x et la bêta de la 1.0.2 d’OpenSSL.

La version 1.0.1 d’OpenSSL a été déclarée stable, mais Icodia dispose d’un protocole supplémentaire pour les versions que nous avons nous même validées en production, certification de haut niveau oblige.

Nos serveurs n’utilisent pas la version 1.0.1 d’OpenSSL, ni la béta 1.0.2, le bug Heartbleed n’est donc pas applicable à notre plateforme, les autres failles récentes d’OpenSSL, existant sur les versions précédentes à la version 1.0.1, c’est à dire BEAST attack, Insecure Client-Initiated Renegotiation et TLS compression injection, sont d’ailleurs également fixées sur notre plateforme.

La fondation OpenSSL a incité de nombreux opérateurs à passer sur OpenSSL v1.0.1 afin de patcher notamment la faille BEAST, nous avons préféré conserver nos codes sources et patcher les versions que nous utilisions. Nous n’avons d’ailleurs pas fait que patcher, mais avons également ajouté des protocoles (tls v1.1 / v1.2) plus élevés et modernes pour SSL, qui n’existaient pas sur les versions précédent la 1.0.1

Nous avons, par contre, fait évoluer la manière dont nos librairies OpenSSL renvoyaient les informations, notamment sur les entêtes, car cela pouvait donner de faux positifs sur certains tests en ligne.

Vous êtes hébergé sur notre plateforme de serveurs dédiés ou de serveurs virtuels :
-> vérifiez votre version de Open SSL

Cette faille est exploitable uniquement pour les versions1.0.0-fips, 1.0.1.x et la bêta de la 1.0.2 d’OpenSSL. 

Nous vous recommandons fortement de mettre à jour la version d’OpenSSL sur votre serveur dédié.

Les serveurs utilisant SSL sous Microsoft Windows IIS ne sont pas touchés, par  contre, ceux qui utilisent sous Windows Apache + mod SSL sont touchés

Si vous ne disposez pas d’options d’infogérance pour votre serveur, nous pouvons prendre en charge la mise à jour d’OpenSSL dans le cadre d’une prestation (devis sur demande) ou bien dans le cadre d’une souscription à une option d’infogérance (à partir de 19 euros HT/mois). 

Pour plus d’information ou obtenir un devis, n’hésitez pas à nous contacter en ouvrant un ticket à partir de votre interface IcoAdmin

Note : 

Le principe d’un hébergement sur un environnement dédié est que le client assure la configuration, l’entretien technique et les mises à jour de son serveur.
Il loue chez un hébergeur un serveur qui lui est propre, la responsabilité de l’entretien logiciel lui revient.

Il peut disposer des ressources en interne pour le faire ou confier cet entretien à son prestataire web.

Pour les clients qui n’ont pas les compétences pour effectuer ces taches en interne ou qui ne disposent pas de prestataire technique (webagency, par exemple), nous proposons des forfaits d’infogérance logicielle dans le cadre desquelles nous nous assurons de la tenue à jour de vos systèmes.

Si vous souhaitez avoir plus d’informations sur nos forfaits d’infogérance, n’hésitez pas à nous contacter.