Le Comptoir Sécu

Parlons cybersécurité...autour d'un verre!

Heartbleed: une faille critique dans OpenSSL qui remue le monde de la sécurité informatique

A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.

Voici ce qu’ont pu lire ceux qui suivent l’actualité sécu sur le site d’OpenSSL.org hier matin.

La faille joliment appelée “heartbleed” à cause de la fonctionnalité de heartbeat d’OpenSSL est présente dans les bibliothèques d’OpenSSL 1.0.1 jusqu’à 1.0.1f et permet de déchiffrer les échanges entre le client et le serveur utilisant SSL/TLS. Elle permet de compromettre la clé privée du serveur utilisée pour chiffrer le trafic. Ainsi, il est possible, par exemple, de récupérer le login et le mot de passe de services ou d’utilisateurs, afin d’usurper leurs identités et d’infiltrer le serveur sans laisser de traces.

Cette vulnérabilité a été découverte par un groupe de chercheurs de Codenomicon, avec l’aide d’une personne de Google Security. D’après Netcraft, plus de 500 000 serveurs seraient impactés.

Comme souvent dans les failles liées au chiffrement, ce n’est pas l’algorithme en lui-même qui est faillible mais l’implémentation qui en est faite. Une erreur de programmation dans la bibliothèque permet de révéler la clé privée du certificat X509 du serveur. Bien heureusement, un patch est déjà disponible. Cependant, il faudra régénérer l’intégralité des certificats au cas où une fuite a déjà eu lieu (rappelez-vous, l’attaque ne laisse pas de traces). De plus, des comptes techniques ou utilisateurs ont pu être dévoilé. Il faudra ainsi changer les mots de passe ainsi que les éventuels cookies des utilisateurs. On peut d’ailleurs s’étonner sur le fait que très peu de sites Web ont réinitialisé les passwords de leurs utilisateurs…

Cette vulnérabilité fait beaucoup bouger le monde de la sécurité informatique car non seulement elle est très critique mais en plus demande un coût humain important pour la combler (régénération des mots de passes et des certificats).

Comment les administrateurs vont devoir combler cette faille ?

Pour les utilisateurs, une procédure est envisageable :

heartbleed

Dernier point, comme le souligne TroyHunt, assurez vous que votre navigateur vérifie si le certificat du site visité est encore actif. Si la révocation n’est pas vérifié, un certificat compromis par heartbleed pourra encore vous être servi lors d’une attaque en man in the middle dans plusieurs semaines sans que Chrome n’avertisse de quoi que ce soit…

chrome_ssl

Évidemment, sur ce genre de vulnérabilité à grande échelle, des exploits sont déjà vendu sur le marché noir. C’est pour cela qu’il est très important de corriger cette faille au plus vite.

P.S: Pour rappel, nous avions parlé des différentes failles potentielles de TLS et de SSL dans notre épisode pilote.