5/5 - (3 votes)

Avis de sécurité Apache du 13 août 2022

Apache vient de corriger la faille dans le vecteur d’initialisation statique qui permettait de récupérer les mots de passe pour les connexions Web sans connaître le mot de passe principal. Cette vulnérabilité CVE-2022-37100 pouvait porter atteinte à la confidentialité des données de l’utilisateur, sa correction est effective à partir de la version Apache OpenOffice 4.1.13


Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement. Ce principe est généralement lié au principe d'accès conditionnel. Le chiffrement est l’élément fondamental de la sécurité des données. C’est le moyen le plus simple et le plus efficace de s’assurer que les informations du système informatique ne peuvent être ni volées ni lues par quelqu’un qui souhaite les utiliser à des fins malveillantes. Un algorithme de chiffrement ou code est utilisé pour développer un schéma de chiffrement qui, en théorie, ne peut être rompu que par une exceptionnelle puissance de calcul. La méthode de brute force est souvent employée pour déchiffrer l'algorithme.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.

Apache OpenOffice prend en charge le stockage des mots de passe pour les connexions Web dans la base de données de configuration de l’utilisateur. Les mots de passe stockés sont cryptés avec une seule clé principale fournie par l’utilisateur. Une faille dans OpenOffice existait où le vecteur d’initialisation requis pour le chiffrement était toujours le même, ce qui affaiblit la sécurité du chiffrement, ce qui les rend vulnérables si un attaquant a accès aux données de configuration de l’utilisateur. (Sources)

Multiples vulnérabilités dans Apache OpenOffice. De multiples vulnérabilités ont été découvertes dans Apache OpenOffice. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données. (Sources)


Apache OpenOffice est un projet de la fondation Apache visant à produire une suite bureautique libre et gratuite. Il s'agit d'un proche cousin du projet LibreOffice, également basé sur OpenOffice.org. 

Le logiciel libre Apache HTTP Server est un serveur HTTP créé et maintenu au sein de la fondation Apache. Jusqu'en avril 2019, ce fut le serveur HTTP le plus populaire du World Wide Web. Il est distribué selon les termes de la licence Apache.  L'installation d'un serveur Web Apache permet de vérifier l'apparence de votre site internet dans un environnement spécifique comme Windows par exemple. En effet ce serveur de test local gratuit exécute vos scripts hors ligne, il est souvent combiné avec l'utilisation de bases de données MySQL.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.

A propos de l'auteur

Retour en haut