Message de Sécurité

**Security / Technical Update**    

Following industry best practice and to maintain a high standard of system security, we will be discontinuing support for the TLSv1.0 internet protocol on April 7th, 2018 on VWR.com.  After this date, our websites will only support PCI-compliant versions of TLS (1.1, 1.2).  We do not anticipate any customer disruption with this change; however, as a precaution, please share this message with your IT & eProcurement system resources.

Migrating from SSL and Early TLS

 

Cher client,

En raison d'une vulnérabilité révélée publiquement dans SSL v3 (surnommé Caniche / Poodle), VWR arrêtera de supporter le protocole SSL v3 à une date (à déterminer) prochainement. SSLv3 est largement obsolète, mais il est important que toutes les organisations qui utilisent encore ce protocole soient au courant d'une faille de sécurité qui a été révélée le 14 Octobre par l'équipe de sécurité de Google. Un résumé détaillé de cette vulnérabilité est disponible via les liens suivants: https://www.openssl.org/~bodo/ssl-poodle.pdf et https://blogs.akamai.com/2014/10/ssl-is-dead-long-live-tls.html.

Cette vulnérabilité n'a pas d'impact TLS, qui est le protocole recommandé et déjà pris en charge par les systèmes de VWR. Notre site VWR B2B de punch out prend en charge TLS (jusqu'à la version 1.2) et notre passerelle B2B pour les transactions EDI / XML backend prend en charge TLS version 1.0 actuellement.

Nous vous invitons à consulter vos équipes de sécurité pour savoir si vos serveurs sont configurés pour utiliser uniquement le protocole TLS et SSL v3 qui est désactivé. La meilleure approche est que votre équipe technique permette ce changement au niveau du serveur, car cela réduit les risques de sécurité et aide à assurer une transition en douceur pour tous les utilisateurs. Pour désactiver SSLv3 au niveau du navigateur côté client, veuillez prendre connaissance des informations fournies via le lien suivant: http://tweaks.com/windows/67027/how-to-protect-ie-chrome-and-firefox-from-the-poodle-ssl-v3-exploit/

Si votre équipe technique ne met pas en œuvre un plan de migration vers un protocole TLS, votre punch out et autres connexions de commande intégrée ne fonctionneront pas une fois que le soutien SSLv3 sera désactivé. Ce problème est susceptible d'affecter toutes vos connexions B2B, s'il n'est pas traité en temps opportun.

Nous publierons une autre communication dans un avenir proche pour vous fournir la date exacte à laquelle VWR désactivera le SSL v3. Si vous avez des questions techniques, s’il vous plaît veuillez nous contacter dès que possible.

 

Équipe support et de sécurité B2B VWR