Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
La vérité sur heartbleed
1. La vérité sur Heartbleed
La presse s’est répandue depuis quelques jours en articles sur cette
faille de sécurité sans en vérifier les faits. Qu’en est-il vraiment ?
Testez votre site web pour voir si vous êtes affecté par heartbleed !
Pour tout savoir sur Heartbleed et tester votre site web :http://www.aliceandbob.fr/alice-
bob/heartbleed/
Contactez-nous pour vous accompagner : www.aliceandbob.fr
Ne rien faire si vous êtes un utilisateur final ou un Internaute !
Cette faille n’est liée ni aux algorithmes de chiffrement (d’encodage), ni aux outils utilisant ces
technologies (navigateurs Internet, outils de bureautique, VPN, etc.), ni aux Autorité de Certifications qui
délivrent des certificats. Vous ne devez absolument pas arrêter d’envoyer des emails, d’utiliser
l’Internet, ni changer tous vos mots de passes. Seules les organisations utilisant des certificats
électroniques doivent s’en soucier. Elles vous indiqueront ce que vous devez faire.
Si vous êtes une organisation ayant utilisé OpenSSL dans ses versions
1.0.1 à 1.0.1f (uniquement) ou .0.2-beta1alors renouvelez vos certificats.
Si les fournisseurs de certificats électroniques ont des doutes ils contacteront leur clients pour révoquer
(annuler) ces certificats et les remplacer. Si votre organisation utilise des certificats électroniques
(Certificats SSL, Certificats de signature, d’authentification ou de chiffrement) contactez votre
fournisseur. Il vous guidera. Si vous avez généré vos clés de chiffrement via les outils de Microsoft vous
n’avez rien à craindre. Si vous avez utilisé la librairie OpenSSL dans ses versions 1.0.1 à 1.0.1f et
uniquement ou .0.2-beta1 dans ce cas, alors il faut que vous remplaciez vos certificats. Il est aussi
2. recommandé dans ce cas de demander à vos utilisateurs de remplacer leurs mots de passes. A noter que
s’il y a une faille cela ne veut pas dire qu’elle sera exploitée.
Que s’est-il passé ?
Un développeur nommé Robin Seggelmann a laissé un bug dans des versions de OpenSSL développée il y
a deux ans. La communauté vient de s’en rendre compte.
Pour en savoir plus http://www.aliceandbob.fr
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
3. • La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr