Bogue Heartbleed : des agences gouvernementales encore vulnérables


Dominique Lemoine - 12/05/2014

Des agences gouvernementales provinciales et fédérales se croiraient faussement à l’abri du bogue Heartbleed, selon une étude.Logo du gouvernement du Canada

L’étude de l’entreprise de services Internet Netcraft, qui est rapportée par It World Canada, dit que des sites Internet d’agences gouvernementales, incluant des agences du Canada et du Québec, seraient encore à risque malgré les mesures de protection qui ont été mises en application récemment.

« Pendant que les sites Internet corrigeaient leurs installations OpenSSL vulnérables après la découverte du bogue Heartbleed en avril, en remplaçant leurs certificats SSL et en révoquant les anciens, des sites ont en fait réutilisé la même clé privée potentiellement compromise dans le nouveau certificat », explique IT World Canada.

Plus de 30 000 certificats affectés auraient été ainsi révoqués, puis réédités en réutilisant la même clé privée.

« Quelques sections du gouvernement canadien ont fait l’erreur de réutiliser des clés privées alors qu’ils essayaient d’atténuer les risques », affirme l’étude. Rappelons que l’impact du bogue Heartbleed avait touché tous les services en ligne du gouvernement fédéral – en particulier l’Agence du revenu du Canada – qui utilisent OpenSSL à des fins de chiffrement.

Au Québec, Netcraft soutient que l’un des sites Internet de la Société de l’assurance automobile du Québec pourrait être dans cette situation à la suite de la production de son nouveau certificat SSL. Son ancien certificat avait été révoqué le 29 avril.

Lire l’article au complet sur le site d’IT World Canada, une publication sœur de Direction informatique (en anglais).




Tags: , , , , , , , , , , , , ,
Dominique Lemoine

À propos de Dominique Lemoine

Dominique Lemoine est rédacteur en chef du magazine Direction informatique.
Google+