Le 15 avril 2014, tous les utilisateurs des services de l’OMPI associés à la création d’un compte (notamment le système ePCT et les différents services en ligne de Madrid et La Haye) ont dû recevoir un message électronique les invitant à réinitialiser leur mot de passe. Nous souhaiterions apporter quelques précisions concernant cette mesure.
Un certain nombre de systèmes de l’OMPI utilisaient une version du protocole OpenSSL vulnérable au bug Heartbleed. Dès que nous avons été informés du problème, nous avons appliqué les correctifs nécessaires et remplacé les certificats serveur pour empêcher l’exploitation de la faille.
Nous n’avons aucune preuve que des informations relatives aux utilisateurs aient été compromises mais il est possible que des codes d’utilisateurs et des mots de passe aient été récupérés avant la mise à jour des serveurs.
Nos serveurs ont été à mis à jour le 10 avril 2014. Plusieurs services (notamment les services ePCT destinés au public et les applications du Centre d’arbitrage et de médiation) parmi ceux qui accomplissent les opérations les plus sensibles et qui reposaient uniquement sur l’utilisation d’un code d’utilisateur et d’un mot de passe ont été mis hors ligne le week end suivant jusqu’à ce qu’il soit possible d’opérer une réinitialisation forcée des mots de passe, ce qui a été fait le 15 avril. Les services ePCT privés sont restés accessibles compte tenu du niveau de sécurité supplémentaire assuré par le certificat numérique.
Si vous n’avez pas reçu le message électronique vous invitant à modifier votre mot de passe, ou si vous préférez ne pas cliquer sur des liens figurant dans des messages électroniques que vous n’avez pas demandés, vous pouvez initier la procédure de changement de mot de passe en vous rendant sur la page de connexion et un cliquant sur le lien à cet effet. Vous accéderez alors à une page vous permettant de lancer la procédure de réinitialisation du mot de passe, moyennant l’envoi à votre adresse électronique d’un message contenant un lien personnalisé. Si vous ne trouvez pas le courriel dans votre boîte de réception principale, pensez à vérifier le dossier Courrier indésirable.
Si vous ne parvenez toujours pas à modifier votre mot de passe ou à vous connecter, veuillez contacter le Service d’aide aux utilisateurs de l’OMPI.
Depuis la mise à jour des serveurs, des utilisateurs d’Internet Explorer 11 nous ont indiqué qu’ils ne parvenaient pas à accéder à certains services. Nous sommes en train d’étudier le problème mais nous ne pouvons que vous conseiller d’utiliser un autre navigateur jusqu’à ce que la cause ait été identifiée.
Le logiciel PCT SAFE contenait un exemplaire de la bibliothèque OpenSSL à l’origine du bug Heartbleed. Nous avons conclu que, puisque le PCT SAFE n’utilisait pas le service particulier où réside le problème, la vulnérabilité ne pouvait pas être utilisée contre le système. Nous avons néanmoins publié une nouvelle version du logiciel le 17 avril.
Veuillez nous excuser pour tout désagrément. Les mesures de précaution que nous avons mises en place sont conformes aux pratiques recommandées depuis la découverte de la faille Heartbleed. L’OMPI attache la plus haute priorité à la sécurité de ses applications et services opérationnels.