Pourquoi Heartbleed fait trembler les deux tiers du web

Le bug à l'origine d'Heartbleed, la faille de sécurité au coeur d'OpenSSL qui défraye la chronique depuis lundi, représente l'une des vulnérabilités les plus sérieuses de ces dernières années. Plus de 500 000 certificats de sécurité sont concernés, et l'accès aux données est total en cas d'attaque.

Partager
Pourquoi Heartbleed fait trembler les deux tiers du web

Une faille de sécurité très importante a été découverte cette semaine dans la bibliothèque OpenSSL. Cette faille a été baptisée Heartbleed, car le bug se situe dans l'extension "heartbeat" du protocole TLS (Transport Layer Security), le successeur du SSL.

OpenSSL est composé de deux bibliothèques logicielles très utilisées sur Internet pour assurer le cryptage des communications. Une grande majorité de sites, estimée à près des deux tiers du web, s'en sert pour sécuriser son trafic. Cela inclut les réseaux sociaux, les webmails, les sites de vente en ligne, mais aussi ceux des banques, des entreprises et même des gouvernements. Tous les serveurs utilisant Apache ou nginx sont susceptibles d'être concernés car ils utilisent OpenSSL par défaut, ce que font également les systèmes d'exploitation OpenBSD et FreeBSD, réputés très sûrs, ainsi que nombreuses distributions Linux (Debian, Fedora, Ubuntu, etc.). Des routeurs (et autres services réseaux) sont également touchés, notamment ceux de Cisco Systems et de Juniper Networks.

VULNÉRABLE PENDANT DEUX ANS

Élément aggravant, le bug, dont la désignation officielle est CVE-2014-0160, existe depuis la sortie d'OpenSSL 1.0.1, qui a eu lieu en 2012. Il concerne les versions allant de la 1.0.1 jusqu'à la 1.0.1f. Les versions plus anciennes, ou la toute dernière 1.0.1g, sortie lundi 7 avril, le même jour que la révélation du fameux bug, sont protégées.

Le danger que représente Heartbleed réside dans le fait qu'il permet à un aggresseur de récupérer jusqu'à 64 ko de mémoire depuis un serveur ou une machine cliente utilisant une version d'OpenSSL compromise. La probabilité qu'une clé privée ou un certificat se trouvent parmi ces kilo-octets n'est pas établie, mais comme il est possible de répéter la procédure à l'infini, des informations sensibles finissent forcément par être obtenues. Il est aussi difficile de savoir si ce type d'attaques s'est répandu sur la scène du piratage informatique pendant les deux années de vulnérabilité du protocole, car le procédé ne laisse aucune trace.

Une fois ces informations sensibles interceptées, la mise à jour des bibliothèques OpenSSL ne suffit plus : il faut regénérer toutes les informations d'authentification, notamment les certificats X.509 utilisés en conjonction du protocole TLS, et invalider les anciennes (clés, certificats, cookies de session, etc.). Il s'agira ensuite, et seulement ensuite, pour les utilisateurs de changer leurs mots de passe et autres identifiants.

COMPROMISSION TOTALE ET INDÉTECTABLE

Les chercheurs ayant identifié le bug, qui travaillent pour l'entreprise spécialisée en sécurité informatique Codenomicon, ont ainsi été capables de s'attaquer eux-mêmes depuis l'extérieur, sans information préalable, et de compromettre leurs clés de cryptage de façon totalement indétectable. Certificats, identifiants de connexion (y compris les mots de passe), messagerie instantanée, emails, documents divers... Tout a été compromis. Encore plus préoccupant, suivant les paramètres utilisés, une clé obtenue de cette manière pourrait être utilisée pour décrypter des informations déjà envoyées. De plus, une fois toutes les informations d'authentification récupérées, une personne malveillante peut se faire passer sans souci pour l'entité qu'elle a piraté, s'emparant d'encore plus de données auprès d'autres parties.

L'un des exemples les plus criants est celui de Yahoo!, dont les services ont été frappés de plein fouet par Heartbleed. Yahoo! Mail, Flickr, Tumblr... Des sites très visités, et qui se sont retrouvés complètement vulnérables. Tumblr a d'ailleurs d'ores et déjà demandé à l'intégralité de ses utilisateurs de changer leur mot de passe après avoir corrigé la faille. Les implications de cette vulnérabilité sont donc sans précédent, et vu le nombre de serveurs concernés, il faudra certainement de nombreux mois avant que la plupart des sites ne soient protégés. Le site Mashable tient à jour une liste des sites populaires indiquant s'ils ont été compromis, et si oui, si la faille a été corrigée.

La vulnérabilité d'un serveur peut être estimée rapidement à l'aide de cet outil en ligne

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Connecter start-up et grands groupes

Connecter start-up et grands groupes

Dans ce nouveau numéro du podcast Inspiration, Thomas Ollivier, fondateur du Maif Start-up Club, répond aux questions de Christophe Bys. 

Écouter cet épisode

Le théâtre engagé et populaire de Samuel Valensi

Le théâtre engagé et populaire de Samuel Valensi

Samuel Valensi est un jeune metteur en scène engagé. Passionné de théâtre, il a décidé de quitter les bancs d'HEC pour écrire et mettre en scène. Il est...

Écouter cet épisode

Le Mans, capitale du son

Le Mans, capitale du son

Dans ce nouvel épisode de La Fabrique, Olivier James nous emmène au Mans pour nous faire découvrir un écosystème surprenant : celui de l'acoustique. En quelques années, la...

Écouter cet épisode

Le design dans le monde d'après

Le design dans le monde d'après

L'ancien secrétaire d'Etat socialiste, Thierry Mandon, est président de la Cité du Design de Saint-Etienne. Dans ce nouvel épisode du podcast Inspiration, il présente la Biennale...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

ETABLISSEMENT FRANÇAIS DU SANG.

Technicien de Maintenance en Matériel / Equipement H/F

ETABLISSEMENT FRANÇAIS DU SANG. - 20/06/2022 - CDI - BORDEAUX

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

60 - NOYON

Fourniture de colis de Noël pour les ainés - année 2022..

DATE DE REPONSE 01/01/1970

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS