Nous suivre Industrie Techno

Pourquoi Heartbleed fait trembler les deux tiers du web

Julien Bergounhoux
Soyez le premier à réagir

Soyez le premier à réagir

Pourquoi Heartbleed fait trembler les deux tiers du web

© dr

Le bug à l'origine d'Heartbleed, la faille de sécurité au coeur d'OpenSSL qui défraye la chronique depuis lundi, représente l'une des vulnérabilités les plus sérieuses de ces dernières années. Plus de 500 000 certificats de sécurité sont concernés, et l'accès aux données est total en cas d'attaque.

Une faille de sécurité très importante a été découverte cette semaine dans la bibliothèque OpenSSL. Cette faille a été baptisée Heartbleed, car le bug se situe dans l'extension "heartbeat" du protocole TLS (Transport Layer Security), le successeur du SSL.

OpenSSL est composé de deux bibliothèques logicielles très utilisées sur Internet pour assurer le cryptage des communications. Une grande majorité de sites, estimée à près des deux tiers du web, s'en sert pour sécuriser son trafic. Cela inclut les réseaux sociaux, les webmails, les sites de vente en ligne, mais aussi ceux des banques, des entreprises et même des gouvernements. Tous les serveurs utilisant Apache ou nginx sont susceptibles d'être concernés car ils utilisent OpenSSL par défaut, ce que font également les systèmes d'exploitation OpenBSD et FreeBSD, réputés très sûrs, ainsi que nombreuses distributions Linux (Debian, Fedora, Ubuntu, etc.). Des routeurs (et autres services réseaux) sont également touchés, notamment ceux de Cisco Systems et de Juniper Networks.

VULNÉRABLE PENDANT DEUX ANS

Élément aggravant, le bug, dont la désignation officielle est CVE-2014-0160, existe depuis la sortie d'OpenSSL 1.0.1, qui a eu lieu en 2012. Il concerne les versions allant de la 1.0.1 jusqu'à la 1.0.1f. Les versions plus anciennes, ou la toute dernière 1.0.1g, sortie lundi 7 avril, le même jour que la révélation du fameux bug, sont protégées.

Le danger que représente Heartbleed réside dans le fait qu'il permet à un aggresseur de récupérer jusqu'à 64 ko de mémoire depuis un serveur ou une machine cliente utilisant une version d'OpenSSL compromise. La probabilité qu'une clé privée ou un certificat se trouvent parmi ces kilo-octets n'est pas établie, mais comme il est possible de répéter la procédure à l'infini, des informations sensibles finissent forcément par être obtenues. Il est aussi difficile de savoir si ce type d'attaques s'est répandu sur la scène du piratage informatique pendant les deux années de vulnérabilité du protocole, car le procédé ne laisse aucune trace.

Une fois ces informations sensibles interceptées, la mise à jour des bibliothèques OpenSSL ne suffit plus : il faut regénérer toutes les informations d'authentification, notamment les certificats X.509 utilisés en conjonction du protocole TLS, et invalider les anciennes (clés, certificats, cookies de session, etc.). Il s'agira ensuite, et seulement ensuite, pour les utilisateurs de changer leurs mots de passe et autres identifiants.

COMPROMISSION TOTALE ET INDÉTECTABLE

Les chercheurs ayant identifié le bug, qui travaillent pour l'entreprise spécialisée en sécurité informatique Codenomicon, ont ainsi été capables de s'attaquer eux-mêmes depuis l'extérieur, sans information préalable, et de compromettre leurs clés de cryptage de façon totalement indétectable. Certificats, identifiants de connexion (y compris les mots de passe), messagerie instantanée, emails, documents divers... Tout a été compromis. Encore plus préoccupant, suivant les paramètres utilisés, une clé obtenue de cette manière pourrait être utilisée pour décrypter des informations déjà envoyées. De plus, une fois toutes les informations d'authentification récupérées, une personne malveillante peut se faire passer sans souci pour l'entité qu'elle a piraté, s'emparant d'encore plus de données auprès d'autres parties.

L'un des exemples les plus criants est celui de Yahoo!, dont les services ont été frappés de plein fouet par Heartbleed. Yahoo! Mail, Flickr, Tumblr... Des sites très visités, et qui se sont retrouvés complètement vulnérables. Tumblr a d'ailleurs d'ores et déjà demandé à l'intégralité de ses utilisateurs de changer leur mot de passe après avoir corrigé la faille. Les implications de cette vulnérabilité sont donc sans précédent, et vu le nombre de serveurs concernés, il faudra certainement de nombreux mois avant que la plupart des sites ne soient protégés. Le site Mashable tient à jour une liste des sites populaires indiquant s'ils ont été compromis, et si oui, si la faille a été corrigée.

La vulnérabilité d'un serveur peut être estimée rapidement à l'aide de cet outil en ligne

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

« Les puces électroniques bio-inspirées pourraient disrupter le marché dans la décennie », prédit Pierre Cambou, analyste chez Yole Développement

« Les puces électroniques bio-inspirées pourraient disrupter le marché dans la décennie », prédit Pierre Cambou, analyste chez Yole Développement

L'électronique neuromorphique, inspirée du cerveau, a le potentiel de disrupter le marché dans la prochaine décennie.[…]

Comment l'implant cérébral de Clinatec permet de commander un exosquelette par la pensée

Comment l'implant cérébral de Clinatec permet de commander un exosquelette par la pensée

EuraTechnologies renforce son incubateur dédié à l'industrie

EuraTechnologies renforce son incubateur dédié à l'industrie

Cyberattaque Triton, puce quantique Sycamore et Starship… les meilleures innovations de la semaine

Cyberattaque Triton, puce quantique Sycamore et Starship… les meilleures innovations de la semaine

Plus d'articles