Passer au contenu

Une énorme faille de sécurité dans la plupart des connexions web chiffrées

Un bug dans le protocole OpenSSL permet d’accéder aux échanges cryptés d’un grand nombre de services en ligne : messageries, banque en ligne, VPN, chat… Même le réseau d’anonymisation Tor est concerné.

Des chercheurs en sécurité ont dévoilé une faille de sécurité très critique dans le protocole OpenSSL, utilisé par presque deux tiers des serveurs web pour chiffrer les échanges avec les utilisateurs. Par exemple pour accéder à un compte de messagerie, à un service bancaire, à des réseaux privés virtuels (VPN), à des serveurs de chat, etc. Même le réseau Tor est, dans une certaine mesure, impacté.

Plus concrètement, il s’agit d’un bogue dans une librairie intitulée « Heartbeat Extension » qui, dans certaines conditions, provoque une fuite de données au niveau du serveur. C’est pourquoi les chercheurs l’ont appelé « The Heartbleed Bug », le bogue du cœur saignant. Un nom très poétique pour un risque particulièrement grave.

Accès aux clés privées

L’exploitation de cette faille donnerait accès aux clés privées utilisées pour chiffrer le trafic et, par conséquent, à la totalité du contenu qui circule, y compris les éventuels identifiants et mots de passe liés aux services web. Par ailleurs, comme le précisent les chercheurs, une telle attaque ne laisserait aucune trace anormale dans les logs. Dans le cas d’un service bancaire en ligne, un cybercriminel pourrait donc siphonner les données de tous les utilisateurs qui s’y connectent sans que les administrateurs ne s’en rendent compte. Le braquage parfait.

Cette faille est d’autant plus préoccupante qu’elle existe depuis maintenant deux ans et que le risque qu’elle ait déjà été exploitée est loin d’être faible. A ce titre, les chercheurs sollicitent l’aide de la communauté des chercheurs en sécurité pour déployer des « pièges à miel » (honeypot) pour voir si des attaques sont mises en œuvre actuellement. En effet, même si l’attaque ne laisse aucune trace concrète, elle peut néanmoins être détectée par des systèmes de détection d’intrusion, à condition de bien les paramétrer.

Un patch est disponible

La bonne nouvelle, c’est que seule la dernière version d’OpenSSL (1.0.1) est concernée et qu’il existe d’ores et déjà une mise à jour (1.0.1g), que les administrateurs systèmes sont encouragés à installer le plus rapidement possible. Potentiellement, cela peut concerner un assez grand nombre de systèmes d’exploitation, dont Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSuse. Les utilisateurs finals, qui utiliseraient également l’un de ces systèmes sur un poste de travail Linux, sont également invités à se mettre à jour. Il faut également changer tous les certificats de chiffrement SSL, évidemment.

Toutefois, même en mettant à jour tous les systèmes, on ne pourra pas réparer le mal qui a été fait (s’il a été fait). Les cyberfilous qui ont réussi à mettre la main sur des clés de chiffrement SSL puis enregistrer tous les échanges pendant quelques mois (ce que fait la NSA par exemple), ont tout le temps pour déchiffrer tranquillement toutes ces données.

Lire aussi:

Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net, 26/07/2013
Votre patron espionne-t-il vos communications cryptées ? Faites le test !, le 21/01/2014

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn