Heartbleed : l'Anssi publie trois recommandations et une documentation
Pour lutter contre une éventuelle exploitation de Heartbleed, l'Anssi fait trois recommandations évidentes. Mais pointe aussi vers d'intéressants bulletins d'actualité de son CERT.
L'Anssi vient de publier des recommandations en réaction à la faille Heartbleed, qui affecte les bibliothèques OpenSSL. Cela dit, l'agence gouvernementale met à disposition une intéressante documentation élaborée par le Computer Emergency Response Team (CERT) français.
Les trois recommandations principales tirées de ces documents par l'Anssi n'apportent pas grand chose par rapport à ce que l'on savait déjà :
- Vérification de la présence d'une version d'OpenSSL vulnérable et mise à jour si besoin.
- Révocation des certificats et génération de nouvelles clés en cas de suspicion de compromission des clés de chiffrement.
- Changement des mots de passe sur les services en ligne utilisés.
Rien qui n'ait été dit, même s'il est toujours bon de voir ces trois principes exposés clairement et simplement. Cela dit, ceux qui veulent en savoir plus auront tout intérêt à aller s'intéresser de plus près à la documentation mise en lien.
Un bulletin d'alerte mis à jour régulièrement renvoie par exemple vers les explications techniques de la faille, l'avis du CERT-FR et des signatures publiques pour les outils de détection d'intrusion Snort et Suricata. Un bulletin d'actualité est également publié, qui pointe vers les principales mises à jour de sécurité des éditeurs logiciels ou fabricants d'équipements, fournit une aide au diagnostic et rappelle quelques règles élémentaires de sécurité.
Source ZDNet.fr le 18/04/2014
Les trois recommandations principales tirées de ces documents par l'Anssi n'apportent pas grand chose par rapport à ce que l'on savait déjà :
- Vérification de la présence d'une version d'OpenSSL vulnérable et mise à jour si besoin.
- Révocation des certificats et génération de nouvelles clés en cas de suspicion de compromission des clés de chiffrement.
- Changement des mots de passe sur les services en ligne utilisés.
A lire également :
Retour à la liste