Heartbleed : que faut-il craindre de cette faille OpenSSL ?

Une vulnĂ©rabilitĂ© a Ă©tĂ© dĂ©couverte au cĹ“ur d’OpenSSL, JugĂ©e suffisamment grave pour compromettre la sĂ©curitĂ© des communications, la faille, baptisĂ©e Heartbleed, a fait toutefois l’objet d’un correctif. Il ne reste plus qu’Ă  l’appliquer.

 

Depuis le dĂ©but de la semaine, c’est l’agitation sur le web. Une vulnĂ©rabilitĂ© critique a en effet Ă©tĂ© repĂ©rĂ©e dans OpenSSL, une implĂ©mentation open-source des protocoles SSL et TLS, qui permettent de sĂ©curiser les communications, notamment pour les transactions bancaires.

BaptisĂ©e « Heartbleed » et dĂ©couverte par un employĂ© de Google, cette faille est jugĂ©e très grave car elle peut affecter la sĂ©curitĂ© des communications sur certains services en ligne. Cependant, tous les sites ne sont pas concernĂ©s, tandis que d’autres ont annoncĂ© des mesures pour neutraliser les Ă©ventuels mĂ©faits du bug.

Qu’est-ce que Heartbleed ?

« Le bug Heartbleed est une faille sĂ©rieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dĂ©rober des informations protĂ©gĂ©es [...] par le chiffrement SSL/TLS utilisĂ© pour sĂ©curiser l’Internet. Le SSL/TLS fournit une sĂ©curitĂ© et une confidentialitĂ© des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanĂ©e et le VPN« , explique un site dĂ©diĂ©.

Celui-ci ajoute que « le bug Heartbleed permet Ă  n’importe qui sur Internet de lire la mĂ©moire des systèmes protĂ©gĂ©s par une version vulnĂ©rable du logiciel OpenSSL« . Selon l’avis de sĂ©curitĂ© publiĂ© sur le site d’OpenSSL, jusqu’Ă  64 Ko de donnĂ©es sont rĂ©cupĂ©rables sur un client ou un serveur.Ce qui permet de collecter des Ă©chantillons de donnĂ©es et d’y dĂ©couvrir parfois au hasard des informations exploitables.

Par exemple, le bug Heartbleed « compromet les clĂ©s secrètes utilisĂ©es pour identifier les fournisseurs de service Ă  chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concernĂ©« , poursuit le site dĂ©diĂ©. Si un attaquant parvient Ă  obtenir ces informations, il peut par exemple se connecter Ă  la place d’un autre utilisateur… ou les utiliser Ă  la place de ce dernier.

Comment gérer le bug Heartbleed ?

S’il concerne OpenSSL, qui est largement rĂ©pandu, Heartbleed ne touche que certaines versions de la boĂ®te Ă  outils. Sont concernĂ©es les moutures 1.0.1 et 1.0.2-beta, ainsi que les versions 1.0.1f et 1.0.2-beta1. Il convient donc de mettre Ă  jour vers la version 1.0.1g d’OpenSSL. Concernant la version 1.0.2, la faille sera traitĂ©e avec la la mouture 1.0.2-beta2.

De son cĂ´tĂ©, le centre gouvernemental de veille, d’alerte et de rĂ©ponse aux attaques informatiques (CERTA) a publiĂ© un bulletin d’alerte qui prĂ©vient que cette faille « permet Ă  un attaquant de provoquer un contournement de la politique de sĂ©curitĂ© et une atteinte Ă  la confidentialitĂ© des donnĂ©es« . Il convient donc de procĂ©der Ă  une mise Ă  jour des « installations d’OpenSSL vulnĂ©rables« .

Le CERTA a par ailleurs invitĂ© les utilisateurs, « en cas de suspicion de compromission, de rĂ©voquer les certificats utilisĂ©s et de gĂ©nĂ©rer de nouvelles clĂ©s de chiffrement« . Un conseil Ă©galement donnĂ© ce mardi par Benjamin Sonntag, membre de la Quadrature du Net et spĂ©cialiste en administration système et rĂ©seau. Mieux vaut prĂ©venir que guĂ©rir.

Heartbleed ne touche pas tout le monde

Suite Ă  la dĂ©couverte de Heartbleed, des sites spĂ©ciaux ont vu le jour pour tester la sĂ©curitĂ© des sites web. Si des plateformes comme Google, Facebook ou Twitter ne semblent pas affectĂ©es, Yahoo est en revanche concernĂ©. Ce qui n’est Ă©videmment pas de chance pour le portail amĂ©ricain, lui qui essaie de dĂ©montrer que la sĂ©curitĂ© de ses utilisateurs et la confidentialitĂ© de leurs donnĂ©es sont au cĹ“ur de son action.

La dĂ©couverte de cette faille a mobilisĂ© de nombreuses entreprises. Selon le New York Times, Yahoo, Amazon et PayPal ont pris contact avec leurs utilisateurs pour leur expliquer comment ils comptent contrer les mĂ©faits de Heartbleed. Certains sites ont dĂ©clarĂ© par ailleurs avoir patchĂ© OpenSSL : c’est le cas de Tumblr, CloudFlare ou Gandi.

MĂŞme constat du cĂ´tĂ© des distributions Linux. Sur le site Debian, la mise Ă  jour est disponible pour toutes les versions de la distribution sauf la « oldstable », qui n’est pas concernĂ©e par Heartbleed. Plus gĂ©nĂ©ralement, Heartbleed nĂ©cessite d’effectuer la mise Ă  jour OpenSSL dès que possible pour Ă©viter une quelconque mauvaise surprise.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>