HeartBleed est le nom donné à un bug/une vulnérabilité récemment découvert(e) dans l'implémentation du protocole HTTPS/TLS par OpenSSL. Il permet à des pirates distants d'obtenir des informations potentiellement sensibles (jusqu'à 64 Ko à la fois) à l'aide de paquets spécialement conçus qui déclenchent un « buffer over-read » (dépassement de la mémoire tampon). Il peut potentiellement exposer des mots de passe, des noms d'utilisateur, des clés privées et d'autres informations sensibles.
HotDocs n'est pas directement concerné, car
1) Aucun logiciel HotDocs ne repose directement sur les bibliothèques ou le code OpenSSL.
2) HotDocs Server est toujours déployé sur des serveurs Windows, où OpenSSL n'est pas présent par défaut.
3) HotDocs Server est généralement déployé en combinaison avec le serveur Web IIS, qui ne repose pas (par défaut) sur OpenSSL.
4) HotDocs Server est souvent déployé derrière des pare-feu, où les attaques HeartBleed sont de toute façon peu susceptibles d'être aussi répandues.
5) HotDocs Cloud Services est accessible au public, mais là encore, il ne dépend pas d'OpenSSL et n' est donc pas vulnérable au bug HeartBleed.
La seule vulnérabilité potentielle dont nous avons connaissance serait si quelqu'un déployait HotDocs Server sur un serveur Windows accessible au public (c'est-à-dire un serveur qui n'est pas protégé contre les attaques publiques par un pare-feu) qui exécutait un serveur web autre que IIS (tel qu'Apache), configuré pour utiliser HTTPS via OpenSSL basé sur Windows. Dans ce cas, c'est le logiciel de serveur Web de cette machine qui (tant qu'il n'est pas corrigé) pourrait être vulnérable au bug HeartBleed ; dans ce cas, il serait possible que les données liées à HotDocs (collectes de réponses, etc.) figurent parmi les données exposées à un attaquant potentiel.
En résumé, nous ne pensons pas que la vulnérabilité HeartBleed affecte directement HotDocs, et il est peu probable qu'elle ait un impact sur l'utilisation de HotDocs par nos clients, sauf dans la situation relativement rare décrite ci-dessus.
Note de la rédaction : Ce billet a été publié à l'origine sur HotDocs.com. En juin 2024, Mitratech a acquis HotDocs, une plateforme avancée d'automatisation des documents. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements de réglementation et la conformité.
