heartbleed-etat-des-lieux.jpg

15 avril 2014

Heartbleed : rapide état des lieux de notre plateforme

heartbleed-etat-des-lieux.jpgDéjà une semaine que la faille Heartbleed fait couler beaucoup d'encre. Et nous n'en sommes sûrement encore qu'au début. Inutile donc d'en reprendre tout l'historique et les détails, l'ensemble ayant été copieusement couvert par bon nombre de médias, y compris généralistes. Nous nous contenterons de rappeler qu'il s'agit d'une faille présente dans une implémentation (certes répandue) du protocole SSL/TLS, et non du protocole lui-même.

Ce message de service a donc pour seul but d'informer les utilisateurs de notre plateforme d'hébergement. Pour faire court : l'impact du bug Heartbleed sur notre environnement est actuellement considéré comme négligeable.

Dans le détail :

  • L'ensemble des machines virtuelles exploitées pour notre offre d'hébergement d'applications métiers est constitué de serveurs MS Windows et d'applications n'utilisant pas la librairie OpenSSL, mais la pile SSL/TLS propre à Microsoft (Cf. Information about HeartBleed and IIS)
  • Le portail d'accès Web à notre plateforme est mis en œuvre par l'intermédiaire de la solution Citrix Secure Gateway. Cette solution est également exempte de toute dépendance à OpenSSL, tout comme les clients Citrix que nous préconisons (Cf. Citrix Security Advisory for CVE-2014-0160)
  • Notre service de transfert de fichiers SFTP/FTPS était concerné par la faille Heartbleed. L'éditeur de l'outil retenu a diffusé un correctif dans la nuit du lundi 07/04 au mardi 08/04, correctif déployé sur notre serveur le 08/04 à 08h00. Malgré tout, nous considérons l'exposition comme négligeable : ce service a une très faible visibilité, le patch a rapidement été mis en service et les informations d'authentification ne permettent aucunement un accès à la plateforme d'hébergement et restent cantonnées à la DMZ.

Néanmoins, nous allons redoubler de vigilance au cours des semaines à venir, et mener des tests complémentaires. Nous entrerons également en contact avec les DSI de nos clients qui pourraient être concernés par le service de transfert de fichiers, ceci afin de procéder à un renouvellement des informations de connexion.

Derniers articles

10 juillet 2018

Informatisation des directions financières : le Bon, l’Incompétent et le Truand

Il y a 20 ans de cela, le Directeur Financier d’une grande société spécialisée dans les photocopieurs, me lâcha cette affirmation à propos des intervenants en informatique qu’il pouvait rencontrer : « Dans l’informatique de Gestion il y a un tiers d’escrocs, un tiers d’incompétents et un tiers de

Lire la suite »

2 juillet 2018

DAF en PME : humain trop humain

On a coutume de dire qu’au sein des PME les relations humaines priment et l’implication des salariés dans leur travail est supérieure à ce que l’on peut trouver dans les grands comptes. Cela est vrai à la lumière de mes dernières rencontres, l’une d’entre elles est exemplaire.

Lire la suite »

25 juin 2018

Fraude interne et charité chrétienne

Lors d’un Webinar BDO VIA FINANCE consacré à la « Sécurisation des Paiements, prérequis de la lutte contre la fraude », nous avons pris délibérément le parti d’évacuer le sujet de la fraude en interne dans les entreprises. Cela représente cependant 30 % des fraudes commises en 2017 au sein des

Lire la suite »