Début avril, des experts en sécurité de Google et de Codenomicon Defensics – un éditeur d’origine finlandaise basé dans la Silicon Valley – découvraient une faille critique qu’ils baptisaient Heartbleed.
Référencée CVE-2014-0160, cette vulnérabilité permet à des tiers d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité touche le logiciel OpenSSL. Ce dernier est chargé de protéger identifiant de connexion, mot de passe, numéro de carte bancaire et autres données sensibles depuis le serveur qui héberge la transaction, en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.
Après la découverte de la faille, éditeurs et constructeurs ont travaillé à des correctifs. Même si une récente étude a montré qu’environ 320 000 serveurs étaient encore vulnérables, la plupart des produits sont aujourd’hui dits à l’abri. Pas selon Luis Grangeia. Ce chercheur en sécurité portugais a publié une méthode d’attaque s’appuyant sur Heartbleed via les réseaux Wi-Fi et les terminaux Android.
Baptisée Cupidon, cette technique d’assaut a été mise en place dans un environnement Wi-Fi fermé. Elle est basée sur le fait que les réseaux sans fil d’entreprise utilisent des tunnels TLS pour sécuriser une partie des processus d’authentification (EAP). Luis Grangeia a en l’occurrence créé un patch pour le logiciel de sécurisation du Wi-Fi (WPA supplicant) et le logiciel de création de point d’accès Wi-Fi (Hostpad). Cupidon permet de capturer les informations transitant entre le routeur et le terminal.
Les appareils sous Android 4.1 « Jelly Bean » sont particulièrement vulnérables, mais la faille pourrait aussi – avec un point d’interrogation – concerner iOS et OS X d’Apple. Les solutions Wi-Fi de Cisco/Merkai, Aruba, Trapeze et consorts sont également pointées du doigt, au même titre que les téléphones sur IP et les imprimantes.
Cette nouvelle méthode d’attaque illustre les besoins en sécurité des projets open source. Comme le note Silicon.fr, les grands acteurs de l’IT se sont mobilisés pour apporter leur aide technique et financière en la matière. Présidée par la Fondation Linux, la Core Initiative Infrastructure vient de dresser la liste des projets prioritaires. Après l’affaire Heartbleed, OpenSSL arrive logiquement en tête, devant OpenSSH et le Network Time Protocol (NTP), qui inquiète tout particulièrement les spécialistes en sécurité de part son usage dans les récentes attaques DDoS par amplification.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les matériaux qui composent les produits high-tech ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…