Infos

Prise de conscience de la gravite du bogue Heartbleed dans OpenSSL

MISE A JOUR–Les opérateurs de site et les éditeurs de logiciel mettent les bouchées doubles pour éliminer le bogue HeartBleed d’OpenSSL dévoilé ce lundi. Il s’agit d’une vulnérabilité qui permet à un attaquant d’extraire 64 Ko de mémoire par requête sur un serveur. Les attaques peuvent permettre d’obtenir des clés privées, des noms d’utilisateur, des mots de passe et d’autres données sensibles. Certains sites importants comme Yahoo Mail ou d’autres sont actuellement vulnérables.

La vulnérabilité existe dans OpenSSL 1.0.1f et dans les versions ultérieures et ce lundi, les responsables ont publié un correctif. Toutefois, maintenant que les détails de la vulnérabilité ont été dévoilés, les chercheurs ont commencé à l’analyser et plusieurs outils ont été diffusés pour aider les utilisateurs à tester la vulnérabilité de divers domaines. Des fuites de certaines informations via ce bogue ont été confirmées sur certains sites de renom comme Yahoo Mail, Lastpass, le site d’OpenSSL et le site principal du FBI. Il existe également sur Github unun code d’exploitation de preuve de concept pour cette faille.

Les responsables de Lastpass déclarent qu’ils ont éliminé la vulnérabilité mardi matin et que les données des utilisateurs n’ont été à aucun moment en danger. La société utilisait une version vulnérable d’OpenSSL, mais disposait d’autres mesures de sécurité pour atténuer le risque.

« Ceci étant dit, Lastpass se distingue par le fait que vos données sont également chiffrées à l’aide d’une clé à laquelle les serveurs de Lastpass n’ont pas accès. Vos données sensibles ne sont jamais transmises en clair sur SSL. Elles sont déjà chiffrées au moment de l’envoi à l’aide d’une clé que LastPass ne reçoit jamais. Bien que ce bogue soit grave, il ne présentait pas un danger pour les données chiffrées des clients de LastPass vu ce niveau de protection supplémentaire. Dans la majorité des cas sur Internet, les données des utilisateurs ne sont pas chiffrées avant d’être envoyées par SSL, ce qui explique les inquiétudes généralisées » expliquait la société sur sonblog.

« De plus, LastPass utilise également une fonction baptisée ‘confidentialité persistante parfaite’. Grâce à cela, lorsque les clés de sécurité sont modifiées, le trafic passé et à venir ne peut pas non plus être déchiffré même lorsqu’une clé de sécurité en particulier a été compromise. »

La vulnérabilité se situe au niveau de la manière dont OpenSSL gère l’extension heartbeat dans le protocole TLS.

« Le bogue Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Cela met en danger les clés secrètes qui permettent d’identifier les prestataires de service et de chiffrer le trafic, les noms d’utilisateur et les mots de passe et le contenu en lui-même. La vulnérabilité permet aux attaquants d’écouter les communications et de voler des données directement sur le service ou chez l’utilisateur et de prendre l’identité du service ou de l’utilisateur » lit-on dans unedescription de la vulnérabilité publiée par Codenomicon.

OpenSSL est probablement la bibliothèque SSL la plus déployée et figure dans un large éventail d’applications, dont un certain nombre de distributions Linux. Red Hat et Ubuntu ont déjà diffusé des correctifs pour la vulnérabilité.

Mais le plus grand problème est que de nombreux certificats SSL pourraient être compromis maintenant vu que la clé secrète qui protège un certificat donné pourrait être dévoilée dans le cadre d’une attaque sur cette vulnérabilité. La procédure de révocation et de nouvelle émission de ces certificats pourrait durer longtemps, en fonction du nombre d’organisations qui ont remarqué que leur site est vulnérable et de leur vitesse de réaction.

« Cette vulnérabilité est un cauchemar vu qu’elle pourrait dévoiler votre clé secrète à long terme, celle qui correspond à votre certificat de serveur. Le pire est qu’il est impossible de savoir si vous avez été victime. Par conséquence, la prudence impose de révoquer maintenant votre certificat et d’en obtenir un nouveau. Reste à voir combien de personnes vont suivre cette voie » a déclaré Matthew Green, cryptographe et professeur à l’Université Johns Hopkins.

Il semblerait que la vulnérabilité dans OpenSSL a été introduite il y a deux ans. Unsite de test qui permet aux utilisateurs de vérifier la vulnérabilité d’un domaine a été mis en ligne depuis lundi.

D’après Ivan Ristic, directeur de la recherche pour la sécurité des applications chez Qualys, la vulnérabilité Heartbleed dans OpenSSL pourrait porter préjudice à de nombreuses organisations en raison de la simplicité de son exploitation et des implications d’une attaque réussie.

« Cette vulnérabilité est très facile à exploiter. Très simple à mettre en place à partir de zéro (en commençant avec la diff OpenSSL) et il existe plusieurs outils qui peuvent être téléchargés et utilisés, en quelques minutes » a déclaré Ivan Ristic.

« D’après les statistiques SSL Pulse, près de 32 % des serveurs de cet ensemble de données prennent en charge TLS 1.2. Il est probable que la majorité d’entre eux utilise OpenSSL et qu’ils soient par conséquent vulnérables. Cela représente donc un grand nombre de serveurs. Vu la facilité de l’exploitation, nous observons déjà de nombreuses attaques. Les serveurs qui n’étaient pas dotés de la confidentialité persistante sont les plus vulnérables car un adversaire sérieux, qui dispose d’un enregistrement du trafic chiffré du site, peut désormais récupérer facilement la clé privée du site et déchiffrer le trafic de manière rétroactive. »

Cet article a été mis à jour le 8 avril afin d’inclure des informations de Lastpass.

Prise de conscience de la gravite du bogue Heartbleed dans OpenSSL

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception