 Une faille de sécurité de la librairie OpenSSL, Heartbleed, a été trouvée le 7 avril 2014.
Cette faille est totalement indépendante de PC SOFT et des produits PC SOFT.
Êtes-vous concerné par cette faille, vos développements de sites ou d'applications sont-ils concernés ?
Ce document vous est fourni à titre d'information. PC SOFT ne peut pas être tenu pour responsable de l'usage que vous ferez des informations qu'il contient.
1) Heartbleed concerne qui, et c'est quoi ?
Qui est concerné ?
| Site |
Concerné ? |
Serveur HTTP (sans HTTPS)
- Installation avec mise à jour par Internet
- Site WEBDEV dynamique
- Site WEBDEV AWP
- Site WEBDEV PHP
- Site WEBDEV Statique
- Webservice WINDEV / WEBDEV
|
Non |
Serveur HTTPS
- Installation avec mise à jour par Internet
- Site WEBDEV dynamique
- Site WEBDEV AWP
- Site WEBDEV PHP
- Site WEBDEV Statique
- Webservice WINDEV / WEBDEV
| Avec IIS |
Non |
| Avec Apache et OpenSSL <1.0.1 |
Non |
| Avec Apache et OpenSSL entre 1.0.1 et 1.0.1f |
Potentiellement, à vérifier |
| Avec Apache et OpenSSL 1.0.1g |
Non |
|
|
Site de vente sécurisé PC SOFT
https://shop.windev.com/
|
Non |
Portail sécurisé Cloud PCSCloud.
https://pcscloud.net
|
Non |
Plateformes Cloud pour les applications WINDEV, les sites WEBDEV, les bases HFSQL, les développements Cloud.
|
Non |
Base HFSQL en mode sécurisé ou non.
|
Non |
Application WINDEV pour Windows 32 bits ou 64 bits, Linux 32 bits ou 64 bits, Windows Store apps, Java.
|
Non |
Application WINDEV Mobile pour iOS (iPad/iPhone), Android, Windows 10 Iot, Windows Mobile.
|
Non |
|
Heartbleed est une faille de sécurité qui concerne les serveurs qui utilisent OpenSSL, typiquement des serveurs HTTPS ou FTPS. Cette faille est effective uniquement sur un serveur qui utilise une version de la librairie OpenSSL entre 1.0.1 et 1.0.1f, et la version 1.0.2-beta1. Cette faille peut également dépendre de l'implémentation de OpenSSL sur le serveur (fonctionnalités utilisées).
Les serveurs IIS ne sont pas concernés car ils n'utilisent pas OpenSSL.
Les serveurs Apache peuvent être concernés en fonction de la version de la librairie OpenSSL qu'ils utilisent, que se soit sous Windows ou sous Linux.
Liens vers les bulletins de sécurité de l'ANSSI :
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-AVI-156/
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-003/index.html |
Que se passe-t-il pour les sites concernés ?
Cette faille permet de récupérer des informations sur un serveur, telles que des mots de passe en clair, voir même les clés de décryptage ou de signature, qui ouvrent alors l'accès à toutes les informations protégées du serveur.
https://www.openssl.org/news/secadv_20140407.txt
De plus, cette faille ne laisse pas de traces. Il n'est pas possible à un site de savoir si des informations lui ont été volées. Donc, si un site se trouvait dans une situation de vulnérabilité, il faut appliquer le patch de correction, révoquer les certificats SSL existants et en créer de nouveaux. Il faut également changer tous les mots de passe car ils ont pu être volés. |
Comment vérifier rapidement les serveurs utilisés ?
Il existe un site qui permet de vérifier si un serveur HTTPS est affecté ou non :
http://filippo.io/Heartbleed
Note :
Il ne s'agit pas d'un site PC SOFT.
PC SOFT ne garantit en aucune sorte les résultats renvoyés par ce site. |
2) Conséquences pour les sites WEBDEV et Webservices
WINDEV / WEBDEV
Les sites et Webservices ne sont pas concernés au niveau de leur code étant donné que la faille de sécurité concerne les serveurs. Les sites et Webservices peuvent être concernés s'ils font appel à des sites ou des services externes qui eux-mêmes utiliseraient OpenSSL (par exemple un paiement sécurisé). Dans ce cas, la correction est à apporter du côté du serveur distant.
Les sites et Webservices peuvent être directement concernés au niveau du serveur Web sur lequel ils sont installés :
- s'ils sont utilisés en HTTPS,
- et si le serveur Web utilise OpenSSL d'une version entre 1.0.1 et 1.0.1f.
Seuls les serveurs Apache sont concernés. En effet, les serveurs Web avec IIS n'utilisent pas OpenSSL.
Sur les serveurs Apache, il faut contrôler la version de la librairie OpenSSL pour la mettre à jour si nécessaire.
|
3) Conséquences pour les applications WINDEV, WINDEV Mobile
Comme pour les sites et les Webservices, les applications ne sont pas concernées au niveau de leur code étant donné que cela concerne les serveurs. Elles peuvent être concernées si elles font appel à des sites où des services externes qui eux mêmes utiliseraient OpenSSL, comme un Webservice, un paiement sécurisé. Mais dans ce cas aussi, la correction est à apporter du côté du serveur distant.
En cas d'installation et mise à jour par internet en HTTPS, les applications peuvent être concernées au niveau du serveur Web sur lequel l'installation est présente :
-
s'ils sont utilisés en HTTPS,
-
et si le serveur Web utilise OpenSSL d'une version entre 1.0.1 et 1.0.1f.
Seuls les serveurs Apache sont concernés. En effet, les serveurs Web avec IIS n'utilisent pas OpenSSL.
Sur les serveurs Apache, il faut contrôler la version de la librairie OpenSSL pour la mettre à jour si nécessaire.
|
|
Commandez en ligne 
