Pourquoi Heartbleed fait trembler les deux tiers du web

Le bug à l'origine d'Heartbleed, la faille de sécurité au coeur d'OpenSSL qui défraye la chronique depuis lundi, représente l'une des vulnérabilités les plus sérieuses de ces dernières années. Plus de 500 000 certificats de sécurité sont concernés, et l'accès aux données est total en cas d'attaque.

Partager
Pourquoi Heartbleed fait trembler les deux tiers du web

Une faille de sécurité très importante a été découverte cette semaine dans la bibliothèque OpenSSL. Cette faille a été baptisée Heartbleed, car le bug se situe dans l'extension "heartbeat" du protocole TLS (Transport Layer Security), le successeur du SSL.

OpenSSL est composé de deux bibliothèques logicielles très utilisées sur Internet pour assurer le cryptage des communications. Une grande majorité de sites, estimée à près des deux tiers du web, s'en sert pour sécuriser son trafic. Cela inclut les réseaux sociaux, les webmails, les sites de vente en ligne, mais aussi ceux des banques, des entreprises et même des gouvernements. Tous les serveurs utilisant Apache ou nginx sont susceptibles d'être concernés car ils utilisent OpenSSL par défaut, ce que font également les systèmes d'exploitation OpenBSD et FreeBSD, réputés très sûrs, ainsi que nombreuses distributions Linux (Debian, Fedora, Ubuntu, etc.). Des routeurs (et autres services réseaux) sont également touchés, notamment ceux de Cisco Systems et de Juniper Networks.

VULNÉRABLE PENDANT DEUX ANS

Élément aggravant, le bug, dont la désignation officielle est CVE-2014-0160, existe depuis la sortie d'OpenSSL 1.0.1, qui a eu lieu en 2012. Il concerne les versions allant de la 1.0.1 jusqu'à la 1.0.1f. Les versions plus anciennes, ou la toute dernière 1.0.1g, sortie lundi 7 avril, le même jour que la révélation du fameux bug, sont protégées.

Le danger que représente Heartbleed réside dans le fait qu'il permet à un aggresseur de récupérer jusqu'à 64 ko de mémoire depuis un serveur ou une machine cliente utilisant une version d'OpenSSL compromise. La probabilité qu'une clé privée ou un certificat se trouvent parmi ces kilo-octets n'est pas établie, mais comme il est possible de répéter la procédure à l'infini, des informations sensibles finissent forcément par être obtenues. Il est aussi difficile de savoir si ce type d'attaques s'est répandu sur la scène du piratage informatique pendant les deux années de vulnérabilité du protocole, car le procédé ne laisse aucune trace.

Une fois ces informations sensibles interceptées, la mise à jour des bibliothèques OpenSSL ne suffit plus : il faut regénérer toutes les informations d'authentification, notamment les certificats X.509 utilisés en conjonction du protocole TLS, et invalider les anciennes (clés, certificats, cookies de session, etc.). Il s'agira ensuite, et seulement ensuite, pour les utilisateurs de changer leurs mots de passe et autres identifiants.

COMPROMISSION TOTALE ET INDÉTECTABLE

Les chercheurs ayant identifié le bug, qui travaillent pour l'entreprise spécialisée en sécurité informatique Codenomicon, ont ainsi été capables de s'attaquer eux-mêmes depuis l'extérieur, sans information préalable, et de compromettre leurs clés de cryptage de façon totalement indétectable. Certificats, identifiants de connexion (y compris les mots de passe), messagerie instantanée, emails, documents divers... Tout a été compromis. Encore plus préoccupant, suivant les paramètres utilisés, une clé obtenue de cette manière pourrait être utilisée pour décrypter des informations déjà envoyées. De plus, une fois toutes les informations d'authentification récupérées, une personne malveillante peut se faire passer sans souci pour l'entité qu'elle a piraté, s'emparant d'encore plus de données auprès d'autres parties.

L'un des exemples les plus criants est celui de Yahoo!, dont les services ont été frappés de plein fouet par Heartbleed. Yahoo! Mail, Flickr, Tumblr... Des sites très visités, et qui se sont retrouvés complètement vulnérables. Tumblr a d'ailleurs d'ores et déjà demandé à l'intégralité de ses utilisateurs de changer leur mot de passe après avoir corrigé la faille. Les implications de cette vulnérabilité sont donc sans précédent, et vu le nombre de serveurs concernés, il faudra certainement de nombreux mois avant que la plupart des sites ne soient protégés. Le site Mashable tient à jour une liste des sites populaires indiquant s'ils ont été compromis, et si oui, si la faille a été corrigée.

La vulnérabilité d'un serveur peut être estimée rapidement à l'aide de cet outil en ligne

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

A Grasse, un parfum de renouveau

A Grasse, un parfum de renouveau

Dans ce nouvel épisode de La Fabrique, Anne Sophie Bellaiche nous dévoile les coulisses de son reportage dans le berceau français du parfum : Grasse. Elle nous fait découvrir un...

Écouter cet épisode

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe. 

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

WESER

Technicien Qualité (H/F)

WESER - 03/10/2022 - CDI - TOURS

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

75 - PARIS HABITAT OPH

Refonte du paramétrage et de la donnée du SIRH HR Access

DATE DE REPONSE 11/02/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS