1) Heartbleed, qu’est-ce que c’est ?
C’est un nom assez poétique pour l’une des failles de sécurité les plus importantes que le web ait jamais connu. Elle a été découverte par des chercheurs en sécurité des sociétés Google et Codenomicon. Elle affecte le protocole de chiffrement OpenSSL dans sa version 1.0.1 à 1.0.1f.
Plus précisément, le bug se trouve dans une extension protocolaire baptisée « Heartbeat » qui permet de gérer une connexion permanente entre l’utilisateur et le serveur, sur un mode question-réponse (serveur est-tu là ? oui, je là ?).
En raison d’une erreur de programmation (lire point n°7), le serveur renvoie à l’utilisateur, dans certains cas, une partie de sa mémoire vive. Une fuite de données qu’une personne malintentionnée peut mettre à profit pour siphonner des données sensibles. D’où le nom « Heartbleed ».
Dans une note de blog, le cabinet Lexsi décortique cette faille de manière technique, sur la base du code. Le dessinateur Randall Munroe, de son côté, a réussi à expliquer cette faille de manière simple et illustrative, en six vignettes (voir image).
2) Est-ce que c’est grave, docteur ?
Oui, c’est très grave. Grâce à cette faille, un pirate peut, avec un peu de chance, récupérer les clés privées de chiffrement de la connexion SSL attaquée. A partir de ce moment, la porte est grande ouverte : le pirate aura accès à toutes les données qui circulent, y compris les identifiants et les mots de passe. Idéal pour une agence de renseignement ou un groupe de cybercriminels.
S’il a moins de chance, le pirate met simplement la main sur du contenu plus ou moins sensible. En tous les cas, le risque est énorme. Pour le spécialiste de la sécurité Bruce Schneier, cette faille est tout simplement catastrophique. « Sur une échelle de 1 à 10, c’est un 11 », souligne-t-il dans une note de blog.
Pour voir l’étendue du désastre, il suffit de consulter le blog de Robert Graham, un autre spécialiste en sécurité. Le 9 avril, il a réalisé un scan automatique sur le web. Il a détecté 28 millions de serveurs utilisant OpenSSL. Parmi eux, environ 600.000 étaient vulnérables. Néanmoins, les serveurs les plus sensibles ont rapidement été patchés.
3) Quels services ou équipements sont concernés ?
Tous les services en ligne qui utilisent le protocole OpenSSL dans sa version 1.0.1 à 1.0.1f. Et ils sont très nombreux, car OpenSSL est l’une des technologies cryptographiques les plus utilisées sur Internet. Elle est intégrée par défaut dans les serveurs web Apache et nginx qui, à eux deux, représentent déjà deux tiers des serveurs web actifs (source : Netcraft).
En terme de typologie de services, cela peut concerner aussi bien des webmail et des messageries instantanées, que des services SSL VPN ou des services bancaires. Même le service d’anonymisation Tor et le protocole de la monnaie virtuelle Bitcoin ont été impactés.
Mais ce n’est pas tout. Les équipements réseau que nous avons à la maison peuvent également être vulnérables – disques durs réseau, box Internet, petits routeurs, etc. – car ils disposent généralement d’une interface de paramétrage accessible… en SSL. Du côté des disques NAS, les appareils de marque Synology, QNAP et Thecus, par exemple, étaient vulnérables (source : Cachem.fr).
4) Comment savoir s’ils sont toujours vulnérables ?
La première chose à faire est déjà de regarder si votre fournisseur a communiqué à ce sujet. Beaucoup de grandes marques l’ont fait par écrit, sur leur blog ou par Twitter. Exemples : Microsoft, Google, Amazon Web Services, Twitter, PayPal, Dropbox, Evernote, WordPress, Mojang/Minecraft, Github,… Le site Mashable tient à jour une liste de services web, en indiquant leur vulnérabilité. Certains constructeurs ont également publié des alertes comme Cisco et Juniper. Beaucoup de leurs équipements réseau sont concernés par la faille Heartbleed : routeurs, commutateurs, équipements vidéo, etc. Linksys a également communiqué, mais ses produits ne sont pas vulnérables.
Il existe par ailleurs plusieurs sites qui proposent des tests de vulnérabilité. Il suffit d’indiquer l’URL et on obtient la réponse. Le test le plus complet est celui de Qualys. Le plus rapide est celui de Filippo Valsorda, qui permet également de tester de simples adresses IP (et donc des équipements sur réseaux internes). Il y a également celui de la société lituanienne Possible. Les plus professionnels d’entre vous s’orienteront vers des outils de scan automatique. Il en existe plusieurs sur GitHub comme « Heartbleed Masstest » ou « Masscan ». Pratique pour analyser un vaste réseau d’entreprise par exemple.
5) Que faut-il faire ?
Les internautes doivent vérifier si les services ou équipements qu’ils utilisent sont vulnérables (lire ci-dessus). Si tel est le cas, ils doivent si possible cesser de les utiliser jusqu’à ce qu’ils soient sécurisés. S’ils ne sont pas vulnérables, il faut vérifier s’ils n’ont pas été vulnérables par le passé (utilisaient-ils OpenSSL 1.0.1 ?). Les listes de Mashable ou de Cnet peuvent vous guider dans cette tâche. On peut également consulter GitHub où un développeur a scanné 10.000 sites le 8 avril dernier, dont 630 étaient vulnérables.
Si vulnérabilité il y a eu, il faut impérativement changer ses mots de passe. C’est le cas notamment pour les services suivants :
• Google (tous les services)
• Facebook
• Yahoo (tous les services)
• Instagram
• Pinterest
• Tumblr
• Twitter (peut-être, ce n’est pas clair)
• Amazon Web Services (mais pas Amazon.com)
• Dropbox
• Box
De leur côté, les administrateurs systèmes sont extrêmement sollicités. Ils doivent se dépêcher de trouver les serveurs vulnérables et les mettre à jour le plus rapidement possible. Bon courage.
6) Cette faille a-t-elle été exploitée avant d’être révélée ?
Difficile à dire. Selon les chercheurs en sécurité qui ont révélé la faille, l’exploitation « ne laisse pas de traces anormales dans les logs ». Néanmoins, en faisant une analyse approfondie des logs, il semblerait que cela soit quand même possible. Ainsi, l’association Electronic Frontier Foundation a peut-être mis la main sur un botnet qui utilisait cette faille pour capter des discussions sur les forums de Freenode. A vérifier.
Quoi qu’il en soit, cette faille n’étant pas très compliquée à exploiter, il est tout à fait possible qu’un groupe de cybercriminels ou une agence de renseignement siphonne les serveurs web depuis des mois. Mais dans ce cas, le mal est fait. La seule chose à faire reste de changer ses mots de passe.
7) Quelle est l’origine de cette faille ?
L’homme par qui cette faille est arrivée s’appelle Robin Seggelmann, un informaticien allemand qui vit à Münster et qui contribue de manière régulière au projet OpenSSL. Il y a deux ans, il a ajouté plusieurs fonctionnalités, mais aussi une malheureuse erreur de programmation qui a généré la faille Heartbleed. « J’ai oublié de vérifier une variable qui contenait une longueur [d’un message protocolaire, ndlr] », a-t-il expliqué auprès du Sydney Morning Herald. Toutefois, il précise que cette erreur était totalement involontaire et qu’il ne fait pas partie d’une quelconque agence de renseignement, comme certains esprits paranoïaques veulent le faire croire sur la Toile.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.