OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment

Tiens, aurait-on découvert une backdoor de la NSA ? 135

La découverte d'une faille sur OpenSSL sème un vent de panique sur le web, il faut dire que les conséquences peuvent être catastrophiques puisque vos identifiants et mots de passe peuvent être compromis, ainsi que vos échanges chiffrés. Certains se sont déjà mis à jour, tandis que d'autres ont carrément décidé de fermer leur site en attendant.

Heartbleed

Heartbeats, l'extension OpenSSL qui affole le web

OpenSSL est une bibliothèque open source permettant d'implémenter un protocole de chiffrement SSL/TLS sur des sites web, entre autres choses. Largement utilisée sur de nombreux serveurs à travers le monde, une faille portant le nom d'Heartbleed vient d'être découverte dans une de ses extensions : Heartbeats. Cela concerne toutes les versions de la 1.0.1 à 1.0.1f, ainsi que la 1.0.2 bêta. Les moutures précédentes de la branche 1.0.0 et 0.9.8 ne sont pas concernées.

Un site web a été mis en place afin d'expliquer les causes et conséquences potentielles de cette faille, et elles sont loin d'être anodines. En effet, ce « bug » permet à n'importe qui d'accéder à des informations stockées dans la mémoire d'un serveur, celles-ci pouvant être confidentielles : « cela compromet la clé de sécurité utilisée pour s'identifier et sécuriser le trafic, les logins et les mots de passe des utilisateurs, ainsi que le contenu. Cela permet aux pirates d'écouter des communications, de voler des données directement sur des serveurs web et chez les utilisateurs, tout en se faisant passer pour quelqu'un d'autres ».

Une faille vieille de deux ans, corrigée hier. De nombreuses distributions touchées

Mais le plus inquiétant reste à venir : cette faille existerait en fait depuis décembre 2011, mais c'est avec la mise en ligne d'OpenSSL 1.0.1 que les choses se sont aggravées. C'était en mars 2012, soit il y a plus de deux ans maintenant. La faille n'a finalement été découverte que très récemment par Neel Mehta de Google Security et, c'est seulement hier qu'un correctif a été publié (OpenSSL 1.0.1g), alors qu'une nouvelle bêta pour la 1.0.2 arrivera prochainement.

Problème : il faut que les serveurs se mettent à jour et soient réinitialisés, ce qui peut prendre du temps, car c'est généralement une procédure longue et qui ne se fait pas de manière régulière. Néanmoins, le bruit médiatique généré par cette affaire devrait grandement aider à accélérer les choses. Le site Hearbleed dresse une liste, non exhaustive des distributions touchées : 

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) and 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Notez que, sur son site internet, OpenSSL donne une astuce à ceux qui ne pourraient pas se mettre à jour immédiatement. Il n'y par contre pas de solution magique puisqu'il faut recompiler OpenSSL en ajoutant l'option suivante : 

-DOPENSSL_NO_HEARTBEATS

Les clés privées de chiffrement dans la nature, le cas des certificats des serveurs

Les données personnelles des utilisateurs ne sont pas les seuls éléments qu'il est possible de récupérer via cette faille, cela concerne également les clés privées ainsi que les clés secondaires des certificats. Mettre à jour OpenSSL n'est donc pas suffisant pour les serveurs et il faut également générer de nouveaux certificats au passage.

Mais, malgré cela, le mal pourrait déjà être fait. En effet, on peut parfaitement imaginer que certaines entités des renseignements (la NSA par exemple) enregistrent quantité d'informations sans forcément les avoir déchiffrées pour des questions de ressources, mais la récupération des clés privées pourrait grandement faciliter cette tâche a posteriori.

Minecraft ferme son site. Comment savoir si un serveur est touché ?

Afin de savoir si un site est touché par cette faille de sécurité, un mini site dédié a été mis en place. Il suffit d'entrer une URL pour savoir ce qu'il en est, attention toutefois puisqu'il existe des cas de faux positifs. Notez qu'un dépôt GitHub est également disponible, le projet étant open source.

Heartbleed OpenSSL

De son côté, Markus Persson joue la carte de la sécurité et a décidé de fermer temporairement le site de Minecraft. Il sera probablement de retour après une mise à jour, ce qui n'est pas le cas à l'heure où nous écrivons ces lignes. Nathan Adams, développeur chez Mojang, ne donne aucun délai et précise simplement que la balle est dans le camp d'Amazon dont ils utilisent les serveurs. D'autres comme Gandi ou CloudFlare ont déjà pris les devants et ont mis à jour leur infrastructure.

Redoubler de prudence et vérifier les mises à jour des sites

Il s'agit donc d'un problème d'une envergure très importante et qui touche de nombreux sites, il est donc recommandé de redoubler voire tripler de prudence puisque vos identifiants et vos mots de passes sont en jeu. Cette faille peut toucher les webmails ainsi que les réseaux sociaux, mais également les banques, les systèmes de paiement et les sites officiels. Si, comme certains, vous utilisez les mêmes identifiants pour plusieurs sites, alors les conséquences pourraient être encore plus catastrophiques. En effet, un pirate récupérant vos données personnelles pourrait s'en servir sur d'autres sites.

Tant que la situation n'est pas éclaircie, nous vous recommandons donc de ne pas vous rendre sur ces sites pour le moment et d'éviter les achats en ligne. Il faudra voir quelles seront les procédures mises en place par les services qui ont été touchés, tant pour alerter leurs utilisateurs que pour gérer les conséquences de cette faille. Nous tenterons de faire rapidement le point sur le sujet. 

Publiée le 08/04/2014 à 17:20
Sébastien Gavois

Journaliste, jamais bien loin d'une connexion internet. Spécialiste du stockage sous toutes ses formes et du décryptage de PDF des opérateurs de téléphonie mobile.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...