Heartbleed : Des erreurs dans l’application des certificats et des correctifs

La prĂ©cipitation de certains Ă  vouloir se protĂ©ger au plus vite contre la faille Heartbleed a conduit Ă  des erreurs. Par exemple, certaines rĂ©Ă©ditions de certificats SSL ont repris la mĂŞme clĂ© vulnĂ©rable que celle qu’elle Ă©tait censĂ©e remplacer. Parfois, certains sites ont migrĂ© leurs serveurs vers une version d’OpenSSL non corrigĂ©e.

MalgrĂ© les mesures rapides prises par certains sites pour se dĂ©fendre contre l’attaque Heartbleed, certains ne s’en trouvent pas mieux protĂ©gĂ©s qu’avant, et parfois, ils sont mĂŞme plus exposĂ©s. Après avoir corrigĂ© leur version d’OpenSSL après l’attaque Heartbleed rĂ©vĂ©lĂ©e le 7 avril dernier, de nombreux sites ont aussi entrepris de rĂ©voquer les certificats SSL compromis en les remplaçant par de nouveaux certificats. Mais, selon une Ă©tude rĂ©alisĂ©e par l’entreprise de services Internet Netcraft publiĂ©e vendredi, 30 000 sites ont reçu des certificats de remplacement basĂ©s sur la mĂŞme clef privĂ©e compromise que les anciens. Cela signifie que toute personne qui a rĂ©ussi Ă  voler la clef privĂ©e d’un de ces serveurs avant qu’il ne soit corrigĂ© peut toujours utiliser la clef pour tromper le serveur en menant une attaque de type « man-in-the-middle ». « Cette erreur dans les certificats est très dangereuse, parce que les opĂ©rateurs qui ont corrigĂ© la version OpenSSL sur leurs serveurs et qui ont remplacĂ© leurs certificats peuvent penser qu’ils ont pris toutes les mesures nĂ©cessaires pour protĂ©ger leurs utilisateurs », a prĂ©venu Netcraft. « À ce jour, près de 57 % des sites vulnĂ©rables Ă  l’attaque Heartbleed n’ont ni rĂ©voquĂ©, ni rĂ©Ă©ditĂ© leurs certificats SSL », a joutĂ© Netcraft. 21 % ont rĂ©Ă©ditĂ© leurs certificats, mais n’ont pas rĂ©voquĂ© les certificats compromis. « Les 30 000 sites qui ont rĂ©voquĂ© leurs certificats et qui en ont rĂ©Ă©ditĂ© de nouveaux avec la mĂŞme clef privĂ©e reprĂ©sentent environ 5 % des sites vulnĂ©rables », toujours selon Netcraft. 2 % utilisent la mĂŞme clĂ© privĂ©e et doivent encore rĂ©voquer leurs anciens certificats. Mais, au moins, selon Netcraft, « ces sites ne sont pas plus exposĂ©s que le jour oĂą l’attaque Heartbleed a Ă©tĂ© rĂ©vĂ©lĂ©e ».

Par contre, ce n’est pas le cas des quelque 20 % de serveurs rendus vulnĂ©rables et qui ne l’Ă©taient pas quand l’attaque a Ă©tĂ© rĂ©vĂ©lĂ©e : selon une Ă©tude rĂ©alisĂ©e par le dĂ©veloppeur de logiciels Yngve Nysæter Pettersen, il semble que certains opĂ©rateurs ont remplacĂ© des versions sĂ»res d’OpenSSL par des versions non corrigĂ©es. « Il est possible que le battage mĂ©diatique autour d’OpenSSL a conduit certains administrateurs Ă  croire que leur système n’Ă©tait pas sĂ©curisé ». Plus la pression administrative et la nĂ©cessitĂ© « de ne pas rester sans rien faire », les aurait pousser « à dĂ©clencher la mise Ă  niveau d’un serveur non affectĂ© avec une nouvelle version non corrigĂ©e du système, probablement parce que la variante n’avait pas encore Ă©tĂ© officiellement patchĂ©e », a-t-il suggĂ©rĂ©. Nysæter Pettersen a dĂ©marrĂ© son scan le 11 avril : au cours des deux semaines qui ont suivi, près de la moitiĂ© des serveurs vulnĂ©rables avaient Ă©tĂ© corrigĂ©s. Globalement, le nombre de serveurs tournant avec une version vulnĂ©rable d’OpenSSL a baissĂ© de 5,36 % Ă  2,77 %. Cependant, l’application de correctif sur les serveurs vulnĂ©rables a presque complètement cessĂ©. « Mercredi dernier, 2,33 % des serveurs n’avaient toujours pas Ă©tĂ© corrigĂ©s », a-t-il encore ajoutĂ©.

Sources : LeMondeInformatique

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>