Utilisateur:Jdturgeon/Brouillon

Heartbleed[1] est une vulnérabilité cryptographique majeure située dans la librairie source ouverte OpenSSL. La faille permet a un « cyber-attaquant » de contourner le protocole SSL/TLS et de voler des informations protégées.  

Le protocole Secure Sockets Layer (SSL) / Transport Layer Security (TLS) fournit une sécurité de confidentialité sur les communications pour plusieurs applications sur internet. 

L'exploitation de cette faille rend possible la lecture de la mémoire d'un serveur ou d'un client encrypté par le protocole de communication SSL/TLS, compromettant les clés privées, les noms, les mots de passes et le contenu des utilisateurs. 

Histoire

modifier

Le bogue informatique fut introduit dans OpenSSL en décembre 2011. La première version d'OpenSSL comprenant le bogue est la version 1.0.1 sortie le 14 mars 2012.

Le code vulnérable a été découvert 2 ans plus tard en mars 2014 par l'équipe de sécurité de Google et par des ingénieurs de la société informatique Codenomicon. Le bogue ensuite été corrigé et la nouvelle a été rendue publique le 7 avril 2014.

La partie du code contenant l'erreur a été introduite par accident dans la solution d'OpenSSL après le réusinage de code, lequel avait pour but la correction de bugs et l'amélioration de fonctionnalités. L'erreur aurait été commise par un programmeur allemand qui aurait manqué de surveillance [2].

« Heartbleed » est enregistrée dans le Common Vulnerabilities and Exposures system[3] en tant que CVE-2014-0160.

Fonctionnement technique

modifier

Dans le langage informatique, un « heartbeat[4] », ou « battement de cœur », est une manière de communiquer entre les systèmes pour qu'ils demeurent synchronisés. Dans la boîte à outils OpenSSL, pour que les protocoles de sécurité SSL/TLS puissent fonctionner, les clients doivent envoyer des signaux « heartbeat » au serveur pour l'informer qu'ils sont en ligne (« alive »). C'est dans l'implémentation de cette partie du code que la faille c'est glissée[5], affectant autant les serveurs que les clients.

La faille laisse à un « cyber-criminel » la liberté de lire jusqu'à 64kb de mémoires d'un serveur. La manière de procéder est d'envoyer un « heartbeat » trafiqué/corrompu pour recevoir les informations recherchées, et ce autant de fois que désiré. Les attaques exploitant la faille « heartbleed » ne laissent pas beaucoup de traces, seule une consultation approfondie des journaux peut révéler les intrusions.

Impacts

modifier

Cette faille a une traçabilité réduite, c'est pourquoi elle a pu être exploitée pendant environ 2 ans sans être détectée. Ce faisant, la plupart des applications web n'ont plus en leur possession les journaux diagnostiques pour déterminer s'ils ont étés victimes d'une attaque dans le passé. Les journaux des serveurs tendent à devenir des fichiers très volumineux et il est commun de garder seulement ceux des derniers mois.

Ainsi, il est difficile de mesurer l'ambleur de l'impact total associé à cette faille. Les applications web susceptibles d’être affectées sont les sites web, les applications web, les courriels, la messagerie instantanée (IM) et les réseaux privés virtuels (VPN).

Lorsque que le bogue a été découvert, environ 17%[6] des serveurs internet sécurisés certifiés par « trusted authorities » étaient considérés comme vulnérables aux attaques.

Versions d'OpenSSL affectés [7]

modifier
  • Les versions antérieures (0.9.8 et 1.0.0) d'OpenSSL ne sont pas vulnérables à ce bug.
  • Les versions 1.0.1 à 1.0.1f (inclusivement) d'OpenSSL sont vulnérables.
  • La version 1.0.1g d'OpenSSL corrige le bug.
Plateformes affectées
modifier
  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Services et logiciels affectés

modifier
Sites internet[16]
modifier

Les sites suivants ont étés affectés par la faille « Heartbleed » :

Pinterest Instagram Tumblr GoDaddy
Yahoo Google Etsy Flickr
Netflix SoundCloud YouTube American Funds
Wikipedia Wordpress Wunderlist IFTTT
Venmo Dropbox GitHub
Applications
modifier

Les applications suivantes ont étés affectés par la faille « Heartbleed » :

Applications jeux en ligne [26]
modifier

Les applications suivantes ont étés affectés par la faille « Heartbleed » :

Solutions

modifier

Si la version d'OpenSSL du serveur que vous utilisez est entre 1.0.1 et 1.0.1f et que vous utilisez la fonctionnalité « heartbeat », voici certaines solutions qui s'offrent a vous :

  1. Mettez à jour votre serveur avec la dernière version de OpenSSL disponible (1.0.1g ou +). Si vous n'avez pas accès à votre serveur, communiquez avec votre administrateur pour connaître la version de votre serveur et demander une mise à jour si possible.
  2. Faites de nouvelles clés SSL et révoquez tout les certificats utilisés avec la version vulnérable d'OpenSSL.
  3. Changez vos mots de passe et informations sensibles qui auraient pu être extraits du serveur en question.[27]
  4. Désactivez le support OpenSSL « heartbeat » de votre système.[28]
Mise à jour
modifier

OpenSSL fournit une version à jour (1.0.1g) d'OpenSSL:

Il est possible de tester la vulnérabilité de votre site à la faille « Heartbleed » sur le de Filippo Valsorda:

Notes et références

modifier
  1. Codenomicon Ltd. http://www.codenomicon.com/, « Heartbleed Bug », sur heartbleed.com (consulté le )
  2. (en-GB) Alex Hern, « Heartbleed: developer who introduced the error regrets 'oversight' », The Guardian,‎ (ISSN 0261-3077, lire en ligne, consulté le )
  3. « CVE - CVE IDs », sur cve.mitre.org (consulté le )
  4. (en) « Heartbeat (computing) », Wikipedia,‎ (lire en ligne, consulté le )
  5. Zone Société - ICI.Radio-Canada.ca, « La faille Heartbleed démystifiée », sur Radio-Canada.ca (consulté le )
  6. « Half a million widely trusted websites vulnerable to Heartbleed bug | Netcraft », sur news.netcraft.com (consulté le )
  7. « Vulnerability Note VU#720951 - OpenSSL TLS heartbeat extension read overflow discloses sensitive information », sur www.kb.cert.org (consulté le )
  8. « Android 4.1.1 devices vulnerable to Heartbleed bug, says Google », sur NDTV Gadgets360.com (consulté le )
  9. « Apple releases Heartbleed fix for AirPort Base Stations », Macworld, {{Article}} : paramètre « date » manquant (lire en ligne, consulté le )
  10. « OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products », sur tools.cisco.com (consulté le )
  11. « Juniper Networks - 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160) - Knowledge Base », sur kb.juniper.net (consulté le )
  12. « '[IPCop-Announce] [2.1] release of IPCop v2.1.4' - MARC », sur marc.info (consulté le )
  13. « pfSense Security Information », sur www.pfsense.org (consulté le )
  14. « Storing The Worlds Data | Western Digital (WD) », sur www.wdc.com (consulté le )
  15. Codenomicon Ltd. http://www.codenomicon.com/, « Heartbleed Bug », sur heartbleed.com (consulté le )
  16. Mashable Team, « The Heartbleed Hit List: The Passwords You Need to Change Right Now », sur Mashable (consulté le )
  17. « AWS Services Updated to Address OpenSSL Vulnerability », sur Amazon Web Services, Inc. (consulté le )
  18. HP Inc., « Document HP Support - HP Support Center », sur h20564.www2.hp.com (consulté le )
  19. « OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products », sur tools.cisco.com (consulté le )
  20. « CVE-2014-0160 | LibreOffice - Free Office Suite - Fun Project - Fantastic People », sur www.libreoffice.org (consulté le )
  21. « LogMeIn and OpenSSL », sur LogMeIn (consulté le )
  22. « McAfee KnowledgeBase - McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products », sur kc.mcafee.com (consulté le )
  23. « OpenSSL Heartbleed Vulnerability CVE-2014-0160 », sur www.oracle.com (consulté le )
  24. « OpenSSL Heartbleed Vulnerability CVE-2014-0160 », sur www.oracle.com (consulté le )
  25. « https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2076225 », sur kb.vmware.com (consulté le )
  26. (en-US) « PC game services affected by Heartbleed and actions you need to take », PC Invasion,‎ (lire en ligne, consulté le )
  27. « Heartbleed Bug Vulnerability: Discovery, Impact and Solution », sur CA Security Council, (consulté le )
  28. « Vulnerability Note VU#720951 - OpenSSL TLS heartbeat extension read overflow discloses sensitive information », sur www.kb.cert.org (consulté le )