Prise de conscience de la gravite du bogue Heartbleed dans OpenSSL

MISE A JOUR–Les opérateurs de site et les éditeurs de logiciel mettent les bouchées doubles pour éliminer le bogue HeartBleed d’OpenSSL dévoilé ce lundi. Il s’agit d’une vulnérabilité qui permet à un attaquant d’extraire 64 Ko de mémoire par requête sur un serveur. Les attaques peuvent permettre d’obtenir des clés privées, des noms d’utilisateur, des mots de passe et d’autres données sensibles. Certains sites importants comme Yahoo Mail ou d’autres sont actuellement vulnérables.

La vulnérabilité existe dans OpenSSL 1.0.1f et dans les versions ultérieures et ce lundi, les responsables ont publié un correctif. Toutefois, maintenant que les détails de la vulnérabilité ont été dévoilés, les chercheurs ont commencé à l’analyser et plusieurs outils ont été diffusés pour aider les utilisateurs à tester la vulnérabilité de divers domaines. Des fuites de certaines informations via ce bogue ont été confirmées sur certains sites de renom comme Yahoo Mail, Lastpass, le site d’OpenSSL et le site principal du FBI. Il existe également sur Github unun code d’exploitation de preuve de concept pour cette faille.

Les responsables de Lastpass déclarent qu’ils ont éliminé la vulnérabilité mardi matin et que les données des utilisateurs n’ont été à aucun moment en danger. La société utilisait une version vulnérable d’OpenSSL, mais disposait d’autres mesures de sécurité pour atténuer le risque.

« Ceci étant dit, Lastpass se distingue par le fait que vos données sont également chiffrées à l’aide d’une clé à laquelle les serveurs de Lastpass n’ont pas accès. Vos données sensibles ne sont jamais transmises en clair sur SSL. Elles sont déjà chiffrées au moment de l’envoi à l’aide d’une clé que LastPass ne reçoit jamais. Bien que ce bogue soit grave, il ne présentait pas un danger pour les données chiffrées des clients de LastPass vu ce niveau de protection supplémentaire. Dans la majorité des cas sur Internet, les données des utilisateurs ne sont pas chiffrées avant d’être envoyées par SSL, ce qui explique les inquiétudes généralisées » expliquait la société sur sonblog.

« De plus, LastPass utilise également une fonction baptisée ‘confidentialité persistante parfaite’. Grâce à cela, lorsque les clés de sécurité sont modifiées, le trafic passé et à venir ne peut pas non plus être déchiffré même lorsqu’une clé de sécurité en particulier a été compromise. »

La vulnérabilité se situe au niveau de la manière dont OpenSSL gère l’extension heartbeat dans le protocole TLS.

« Le bogue Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela met en danger les clés secrètes qui permettent d’identifier les prestataires de service et de chiffrer le trafic, les noms d’utilisateur et les mots de passe et le contenu en lui-même. La vulnérabilité permet aux attaquants d’écouter les communications et de voler des données directement sur le service ou chez l’utilisateur et de prendre l’identité du service ou de l’utilisateur » lit-on dans unedescription de la vulnérabilité publiée par Codenomicon.

OpenSSL est probablement la bibliothèque SSL la plus déployée et figure dans un large éventail d’applications, dont un certain nombre de distributions Linux. Red Hat et Ubuntu ont déjà diffusé des correctifs pour la vulnérabilité.

Mais le plus grand problème est que de nombreux certificats SSL pourraient être compromis maintenant vu que la clé secrète qui protège un certificat donné pourrait être dévoilée dans le cadre d’une attaque sur cette vulnérabilité. La procédure de révocation et de nouvelle émission de ces certificats pourrait durer longtemps, en fonction du nombre d’organisations qui ont remarqué que leur site est vulnérable et de leur vitesse de réaction.

« Cette vulnérabilité est un cauchemar vu qu’elle pourrait dévoiler votre clé secrète à long terme, celle qui correspond à votre certificat de serveur. Le pire est qu’il est impossible de savoir si vous avez été victime. Par conséquence, la prudence impose de révoquer maintenant votre certificat et d’en obtenir un nouveau. Reste à voir combien de personnes vont suivre cette voie » a déclaré Matthew Green, cryptographe et professeur à l’Université Johns Hopkins.

Il semblerait que la vulnérabilité dans OpenSSL a été introduite il y a deux ans. Unsite de test qui permet aux utilisateurs de vérifier la vulnérabilité d’un domaine a été mis en ligne depuis lundi.

D’après Ivan Ristic, directeur de la recherche pour la sécurité des applications chez Qualys, la vulnérabilité Heartbleed dans OpenSSL pourrait porter préjudice à de nombreuses organisations en raison de la simplicité de son exploitation et des implications d’une attaque réussie.

« Cette vulnérabilité est très facile à exploiter. Très simple à mettre en place à partir de zéro (en commençant avec la diff OpenSSL) et il existe plusieurs outils qui peuvent être téléchargés et utilisés, en quelques minutes » a déclaré Ivan Ristic.

« D’après les statistiques SSL Pulse, près de 32 % des serveurs de cet ensemble de données prennent en charge TLS 1.2. Il est probable que la majorité d’entre eux utilise OpenSSL et qu’ils soient par conséquent vulnérables. Cela représente donc un grand nombre de serveurs. Vu la facilité de l’exploitation, nous observons déjà de nombreuses attaques. Les serveurs qui n’étaient pas dotés de la confidentialité persistante sont les plus vulnérables car un adversaire sérieux, qui dispose d’un enregistrement du trafic chiffré du site, peut désormais récupérer facilement la clé privée du site et déchiffrer le trafic de manière rétroactive. »

Cet article a été mis à jour le 8 avril afin d’inclure des informations de Lastpass.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *