Une vulnérabilité a été découverte au cœur d’OpenSSL, Jugée suffisamment grave pour compromettre la sécurité des communications, la faille, baptisée Heartbleed, a fait toutefois l’objet d’un correctif. Il ne reste plus qu’à l’appliquer.
Depuis le début de la semaine, c’est l’agitation sur le web. Une vulnérabilité critique a en effet été repérée dans OpenSSL, une implémentation open-source des protocoles SSL et TLS, qui permettent de sécuriser les communications, notamment pour les transactions bancaires.
Baptisée « Heartbleed » et découverte par un employé de Google, cette faille est jugée très grave car elle peut affecter la sécurité des communications sur certains services en ligne. Cependant, tous les sites ne sont pas concernés, tandis que d’autres ont annoncé des mesures pour neutraliser les éventuels méfaits du bug.
Qu’est-ce que Heartbleed ?
« Le bug Heartbleed est une faille sérieuse dans la bibliothèque logicielle de cryptographie OpenSSL. Cette faiblesse permet de dérober des informations protégées […] par le chiffrement SSL/TLS utilisé pour sécuriser l’Internet. Le SSL/TLS fournit une sécurité et une confidentialité des communications sur Internet pour des applications comme le web, le mail, la messagerie instantanée et le VPN« , explique un site dédié.
Celui-ci ajoute que « le bug Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par une version vulnérable du logiciel OpenSSL« . Selon l’avis de sécurité publié sur le site d’OpenSSL, jusqu’à 64 Ko de données sont récupérables sur un client ou un serveur.Ce qui permet de collecter des échantillons de données et d’y découvrir parfois au hasard des informations exploitables.
Par exemple, le bug Heartbleed « compromet les clés secrètes utilisées pour identifier les fournisseurs de service à chiffrer le trafic, les identifiants et les mots de passe des utilisateurs et le contenu concerné« , poursuit le site dédié. Si un attaquant parvient à obtenir ces informations, il peut par exemple se connecter à la place d’un autre utilisateur… ou les utiliser à la place de ce dernier.
Comment gérer le bug Heartbleed ?
S’il concerne OpenSSL, qui est largement répandu, Heartbleed ne touche que certaines versions de la boîte à outils. Sont concernées les moutures 1.0.1 et 1.0.2-beta, ainsi que les versions 1.0.1f et 1.0.2-beta1. Il convient donc de mettre à jour vers la version 1.0.1g d’OpenSSL. Concernant la version 1.0.2, la faille sera traitée avec la la mouture 1.0.2-beta2.
De son côté, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERTA) a publié un bulletin d’alerte qui prévient que cette faille « permet à un attaquant de provoquer un contournement de la politique de sécurité et une atteinte à la confidentialité des données« . Il convient donc de procéder à une mise à jour des « installations d’OpenSSL vulnérables« .
Le CERTA a par ailleurs invité les utilisateurs, « en cas de suspicion de compromission, de révoquer les certificats utilisés et de générer de nouvelles clés de chiffrement« . Un conseil également donné ce mardi par Benjamin Sonntag, membre de la Quadrature du Net et spécialiste en administration système et réseau. Mieux vaut prévenir que guérir.
Heartbleed ne touche pas tout le monde
Suite à la découverte de Heartbleed, des sites spéciaux ont vu le jour pour tester la sécurité des sites web. Si des plateformes comme Google, Facebook ou Twitter ne semblent pas affectées, Yahoo est en revanche concerné. Ce qui n’est évidemment pas de chance pour le portail américain, lui qui essaie de démontrer que la sécurité de ses utilisateurs et la confidentialité de leurs données sont au cœur de son action.
La découverte de cette faille a mobilisé de nombreuses entreprises. Selon le New York Times, Yahoo, Amazon et PayPal ont pris contact avec leurs utilisateurs pour leur expliquer comment ils comptent contrer les méfaits de Heartbleed. Certains sites ont déclaré par ailleurs avoir patché OpenSSL : c’est le cas de Tumblr, CloudFlare ou Gandi.
Même constat du côté des distributions Linux. Sur le site Debian, la mise à jour est disponible pour toutes les versions de la distribution sauf la « oldstable », qui n’est pas concernée par Heartbleed. Plus généralement, Heartbleed nécessite d’effectuer la mise à jour OpenSSL dès que possible pour éviter une quelconque mauvaise surprise.