Pour gérer vos consentements :
Categories: Cloud

Faille Heartbleed : toujours plus de 300 000 serveurs vulnérables

Près de 310 000 serveurs exploitent encore une version d’OpenSSL exposée à la faille Heartbleed deux mois et demi après sa découverte.

Tel est le constat établi par Robert Graham. A fréquence mensuelle, ce chercheur en sécurité – CEO d’Errata Security – procède à une analyse globale portant sur des millions de serveurs hébergeant des sites accessibles au public. S’appuyant uniquement sur des connexions au port 443 (utilisé pour les communications TLS/SSL), il reste prudent sur ses estimations en indiquant qu’il existe d’autres tests… et qu’il peut donc y avoir davantage de serveurs vulnérables.

Ses indicateurs suffisent toutefois à refléter l’état actuel du déploiement des correctifs pour la faille Heartbleed : en un peu plus de cinq semaines, à peine 9000 serveurs ont été mis à jour, alors que plus de 300 000 l’avaient été entre le 9 avril (date de publication de la version patchée d’OpenSSL) et la mi-mai.

Si les principaux groupes Internet (Amazon, Facebook, Google, Microsoft…), les équipementiers réseau (Cisco, Juniper…) les grands hébergeurs (Akamai, CloudFlare…) et les fournisseurs de solutions (notamment de VPN d’entreprise) ont pris les mesures nécessaires, c’est bien du côté des plus petits éditeurs que la mobilisation faiblit.

A l’heure actuelle, il reste difficile de déterminer combien de sites Web sont réellement exposés à la vulnérabilité. Et pour cause : ne sont concernés que ceux qui ont activé l’extension Heartbeat. Celle-ci lance régulièrement, côté client, des requêtes pour vérifier si la connexion avec un serveur est encore active. Mais alors qu’un simple indicateur de présence est attendu en réponse, des blocs de 64 kilo-octets de données peuvent être transmis en clair : identifiants et mots de passe, informations bancaires… ou encore clés de cryptage permettant de déchiffrer du trafic SSL. Les versions 1.0.1 à 1.0.1f d’OpenSSL sont concernées.

Selon Robert Graham, le nombre de serveurs exposés à Heartbleed va décroître progressivement grâce au remplacement « naturel » d’anciens systèmes par de nouveaux déjà protégés. Mais il restera encore « des milliers de serveurs vulnérables dans 10 ans ». Ses mesures sont à mettre en parallèle de celles réalisées par Ivan Ristic dans le cadre du projet SSL Pulse : alors que que 30% des 155 000 sites Web les plus visités au monde étaient potentiellement exposés en avril, ils n’étaient plus que 1291 en mai (soit 0,8%), mais sont encore 1044 en juin.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les fonctionnalités des antivirus version 2013 ?

Crédit photo : Maksim Kabakou – Shutterstock.com

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

2 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

4 semaines ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago