Utilisée par de nombreux sites Web pour implémenter les protocoles de chiffrement SSL (« Secure Sockets Layer ») et TLS (« Transport Layer Security ») destinés à sécuriser les échanges de données entre client et serveur, la bibliothèque logicielle OpenSSL a été mise à jour en urgence.
La version 1.0.1g, diffusée depuis lundi soir, corrige la faille critique CVE-2014-0160, découverte par les experts en sécurité de Google et de Codenomicon Defensics – un éditeur d’origine finlandaise basé dans la Silicon Valley. Cette vulnérabilité est baptisée Heartbleed en référence à l’extension OpenSSL qu’elle affecte : Heartbeats, qui lance régulièrement, côté client, des requêtes pour vérifier que la connexion avec un serveur est encore active (sur le modèle du ping).
Alors qu’un simple indicateur de présence est attendu en réponse, jusqu’à 64 kilo-octets de données peuvent être transmis… en clair. Identifiants, mots de passe, numéros de cartes bancaires, clés de cryptage d’un site Web : autant d’informations qu’un tiers peut intercepter sans laisser aucune trace. L’utilisateur ne peut rien soupçonner : à ses yeux, la transaction est chiffrée, une clé ou un cadenas fermé s’affichant dans la barre inférieure et/ou dans le champ URL de son navigateur Internet.
Selon Netcraft, les deux tiers de sites Web « actifs » sont hébergés sur des serveurs Web exploitant OpenSSL, notamment sous Apache et nginx. La faille Heartbleed toucherait d’autant plus de sites qu’elle serait active depuis décembre 2011. Elle n’affecte cependant pas les versions d’OpenSSL antérieures à la 1.0.1, déployée en mars 2012. En outre, seuls 17,5% des sites exploitant SSL ont activé l’extension Heartbeat. Enfin, certains groupes Internet avertis en amont avaient déjà pris les mesures nécessaires. C’est le cas de Facebook, de Google, d’Amazon ou encore de Microsoft, mais vraisemblablement pas de Yahoo. Les aiguilleurs de trafic (Akamai, CloudFlare…) et les hébergeurs ont également fait preuve de réactivité, certains mettant à jour l’ensemble de leur infrastructure.
Sur le site dédié heartbleed.com figure une liste non exhaustive des distributions touchées : Debian Wheezy (stable), Fedora 18, Ubuntu 12.04.4 LTS, CentOS 6.5, OpenSUSE 12.2, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, etc. Les administrateurs Web sont invités à mettre leurs serveurs à jour. Pour ceux qui n’en ont pas la possibilité, il faudra recompiler OpenSSL en ajoutant l’option -DOPENSSL_NO_HEARTBEATS. Autre nécessité : générer de nouveaux certificats, car ceux-ci peuvent être aspirés via la faille Heartbleed (aussi bien les clés privées que secondaires). C’est crucial pour les fournisseurs de services de messagerie électronique, les réseaux sociaux et les banques en ligne.
PCInpact note l’existence d’un mini-site destiné à vérifier si une URL est vulnérable. Lié à un dépôt GitHub, ce projet open source génère encore de nombreux faux positifs… ou plutôt des erreurs de connexion. Face à l’ampleur potentielle des dégâts, certains sites ont fermé temporairement. En France, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR, adossé à l’ANSSI) a émis un bulletin d’alerte.
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…