Sécurité IT : Heartbleed menace Android et les réseaux Wi-Fi

CloudMobilitéOS mobiles
heartbleed-wi-fi-android

Un chercheur en sécurité portugais a publié une méthode d’attaque s’appuyant sur la faille Heartbleed via les réseaux Wi-Fi et les terminaux Android.

Début avril, des experts en sécurité de Google et de Codenomicon Defensics – un éditeur d’origine finlandaise basé dans la Silicon Valley – découvraient une faille critique qu’ils baptisaient Heartbleed.

Référencée CVE-2014-0160, cette vulnérabilité permet à des tiers d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité touche le logiciel OpenSSL. Ce dernier est chargé de protéger identifiant de connexion, mot de passe, numéro de carte bancaire et autres données sensibles depuis le serveur qui héberge la transaction, en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.

Après la découverte de la faille, éditeurs et constructeurs ont travaillé à des correctifs. Même si une récente étude a montré qu’environ 320 000 serveurs étaient encore vulnérables, la plupart des produits sont aujourd’hui dits à l’abri. Pas selon Luis Grangeia. Ce chercheur en sécurité portugais a publié une méthode d’attaque s’appuyant sur Heartbleed via les réseaux Wi-Fi et les terminaux Android.

Baptisée Cupidon, cette technique d’assaut a été mise en place dans un environnement Wi-Fi fermé. Elle est basée sur le fait que les réseaux sans fil d’entreprise utilisent des tunnels TLS pour sécuriser une partie des processus d’authentification (EAP). Luis Grangeia a en l’occurrence créé un patch pour le logiciel de sécurisation du Wi-Fi (WPA supplicant) et le logiciel de création de point d’accès Wi-Fi (Hostpad). Cupidon permet de capturer les informations transitant entre le routeur et le terminal.

Les appareils sous Android 4.1 « Jelly Bean » sont particulièrement vulnérables, mais la faille pourrait aussi – avec un point d’interrogation – concerner iOS et OS X d’Apple. Les solutions Wi-Fi de Cisco/Merkai, Aruba, Trapeze et consorts sont également pointées du doigt, au même titre que les téléphones sur IP et les imprimantes.

Cette nouvelle méthode d’attaque illustre les besoins en sécurité des projets open source. Comme le note Silicon.fr, les grands acteurs de l’IT se sont mobilisés pour apporter leur aide technique et financière en la matière. Présidée par la Fondation Linux, la Core Initiative Infrastructure vient de dresser la liste des projets prioritaires. Après l’affaire Heartbleed, OpenSSL arrive logiquement en tête, devant OpenSSH et le Network Time Protocol (NTP), qui inquiète tout particulièrement les spécialistes en sécurité de part son usage dans les récentes attaques DDoS par amplification.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les matériaux qui composent les produits high-tech ?

Lire aussi :