Heartbleed, OpenSSL et la question de la sécurité expliqués simplement

Lundi soir, une faille importante était annoncée au sein d'OpenSSL. Comme nous l'avions évoqué hier, celle-ci pourrait avoir des conséquences assez graves, mais elle n'a pour autant pas soulevé de grandes réactions en France, bien que la presse semble commencer à s'en emparer. Devant le besoin de pédagogie sur une question aussi complexe, nous avons décidé de tenter de la rendre compréhensible au plus grand nombre en répondant à quelques questions claires.

Depuis lundi soir, le hashtag #Heartbleed semble affoler de plus en plus de monde. Au départ ils n'étaient que quelques administrateurs système, mais au fur et à mesure des billets et des articles évoquant le sujet, l'ampleur va en grandissant. En France, cela n'a pas tout de suite été le cas, et l'on notait encore ce matin de nombreux sites d'information qui n'en avaient toujours pas parlé, ce qui devrait aller mieux suite à la publication d'une dépêche AFP. D'autres ne s'étaient toujours pas prémunis contre cette faille béante, qui pourrait pourtant avoir de graves conséquences. Une situation assez bien résumée en un tweet de Stéphane Bortzmeyer publié hier : 

"Si vous gardez votre sang-froid alors que tout le monde panique autour de vous, peut-être avez-vous mal évalué la situation" #HeartBleed

— Stéphane Bortzmeyer (@bortzmeyer) 8 Avril 2014

Nous avons donc décidé de résumer tout ce qu'il faut savoir afin de comprendre le sujet, pouvoir en parler autour de vous et sensibiliser votre entourage, en attendant que les choses se tassent et que la majorité des sociétés concernées ne réagisse publiquement, sans doute dans la journée ou les jours à venir. Il sera alors temps de faire le point sur les conséquences exactes.

Heartbleed, c'est quoi ?

Comme nous l'expliquions hier, Heartbleed est une faille dévoilée hier au sein d'une extension d'OpenSSL. Cet outil open source est assez largement utilisé sur internet afin de sécuriser les communications entre votre ordinateur et un serveur. C'est le fameux cadenas dont on vous dit qu'il est nécessaire pour s'assurer de votre sécurité, notamment dans le cadre d'un paiement en ligne. Ce n'est pas le seul service de ce genre qui existe, mais il est très largement exploité, y compris par des sites de vente en ligne, des banques, etc.

Il est capable grâce à l'extension Heartbeat de créer une communication dite de longue durée (détaillée ici). Pour cela, votre machine et le serveur s'envoient de petits messages réguliers pour s'assurer qu'ils sont toujours en contact. C'est cela les fameux battements de cœur dont il est question et qui ont donné naissance au nom et au logo de la faille :

Heartbleed, un nom et un logo bien trouvés 

Malheureusement, depuis OpenSSL 1.0.1, introduit en 2012, un bug permet à n'importe qui d'aller lire aléatoirement de petites quantités (jusqu'à 64 ko) de données non chiffrées, stockées dans la mémoire serveur auquel vous êtes connecté, et cela, via une simple requête. Celui-ci n'a été corrigé que hier avec la version 1.0.1g, et tous les sites touchés doivent se mettre à jour et redémarrer les services qui utilisaient OpenSSL afin de combler cette faille. Ceux qui utilisaient une version antérieure ne sont pas concernés, une prochaine bêta de la branche 1.0.2 fera de même.

Un doute existe quant à la possibilité que les clefs privées qui permettraient de déchiffrer les échanges aient pu être récupérées. Il est donc conseillé d'en générer de nouvelles pour ceux qui gèrent des serveurs exploitant OpenSSL. Si cela était confirmé, cela voudrait dire que n'importe quel échange chiffré récupéré par un tiers ces dernières années, pourra désormais être lu en clair. C'est un point qui a spécifiquement fait réagir l'Electronic Frontier Foundation (EFF) qui appelle à une utilisation plus massive d'une couche de sécurité supplémentaire : Perfect Forward Secrecy.

Si un site est indiqué comme vulnérable, dois-je m'en méfier ?

Comme l'on pouvait s'y attendre, de très nombreux sites ont été touchés, parfois même certains géants du web. Un outil qui permet de tester un domaine en particulier a été mis en ligne, et selon nos constatations, on peut trouver des données sensibles dans de nombreux cas, même sur des sites français. Hier, une liste complète avait été mise en ligne, dans la soirée, on trouvait encore de nombreux exemples de sites vulnérables chez nous que nous avons vérifié : CuisineAZ, Castorama, Elle, Europe 1, Millenium, Paris.fr, Premiere, Slate, et Sports.fr.

Mais ce qu'il faut bien comprendre, c'est que ce n'est pas parce qu'un site est indiqué comme vulnérable que des données sensibles peuvent être récupérées. Nous avons par exemple contacté Slate hier pour leur indiquer suite à leur article qu'ils étaient eux-mêmes touchés, mais ils nous ont confirmé qu'ils n'utilisaient pas OpenSSL dans la pratique. Et effectivement, assez peu de données pouvaient être récupérées, aucune n'étant sensible.

Dans la majorité des cas, on retrouve en effet uniquement le code source des pages visitées par les utilisateurs, ce qui n'a rien de vraiment gênant puisque ces pages sont en générales publiques. 

@David_NXi @FradiFrad On est vulnérable mais on utilise pas, donc... Par contre, astreinte car c'est bien une soirée pour les script kiddies

— greg ossito (@gregossito) 8 Avril 2014

Cela devient par contre problématique lorsqu'un site vous permet d'échanger avec lui des informations importantes dans un environnement sécurisé. Il y a notamment deux cas qui posent soucis : celui des identifiants de connexion et des cookies, mais aussi celui des données données relatives à un service bancaire. Et des cas assez graves ont été relevés. 

Désormais, une majorité de sites ont été patchés, surtout ceux qui contenaient des informations sensibles. Le mieux est néanmoins d'attendre encore quelques jours avant de vous reconnecter, et de modifier vos mots de passe d'ici là. Faites aussi très attention aux mails que vous allez recevoir dans les mois à venir afin d'éviter les tentatives de Phishing. D'ailleurs, ne donnez JAMAIS aucun élément de sécurité à un tiers, même sur un site ressemblant à celui de votre banque ou d'un service quelconque sans vous être assuré de sa véracité, notamment de celle de l'adresse de la page sur laquelle vous vous trouvez.

La gendarmerie a mis en ligne une page explicative avec des contacts à utiliser en cas de problème. Vous pourrez aussi effectuer un signalement via la plateforme Pharos ainsi que sur phishing initiative. 

Mes identifiants de connexion sont-ils en danger ?

Il y a de fortes chances que oui, mais ce n'est pas systématique. Il faut en effet savoir que dans une phase de connexion, la majorité des sites utilise un système assez simple, et les procédures réellement sécurisées sont rares. Le cas le plus courant est de voir un site vous demander votre pseudonyme ou votre email, ainsi que votre mot de passe. Ceux-ci sont envoyés au serveur qui va ensuite les vérifier. Et dans la majorité des cas, tout ceci se passe sans aucun chiffrement. En effet, vos éléments de sécurité transitent en clair sur le réseau, c'est notamment pour cela qu'il est souvent recommandé de ne pas se connecter à certains sites si vous êtes sur un réseau Wi-Fi public. C'est aussi notamment pour cela que nous avons récemment décidé de revoir notre procédure de connexion à l'occasion de l'introduction de notre système unifié.

Les plus attentifs aux questions de sécurité pourront s'étonner : Pourquoi le « hash » du mot de passe, une variable qui permet de vérifier sa véracité mais qui ne permet (normalement) pas de le retrouver, n'est-il pas calculé puis envoyé au serveur ? Tout d'abord, cela ne ferait que déporter le problème, puisque le hash suffirait alors pour faire croire à une identification réelle. En fait, il y a une raison principale, bien que d'autres éléments plus techniques y participent aussi : pour des raisons de sécurité mises en lumière par plusieurs piratages récents, le calcul n'est pas effectué sur votre machine puisqu'il nécessite une composante aléatoire qui ne doit être connue que du serveur : le « salt ». Cela renforce la sécurité du hash et réduit les chances de pouvoir l'utiliser afin de retrouver le mot de passe de l'utilisateur. Le mot de passe est donc envoyé au serveur, le hash est calculé avec la composante aléatoire, et le tout est vérifié afin de savoir si l'utilisateur peut ou non se connecter.

Idéalement, donc, tous les sites devraient utiliser une connexion sécurisée pour l'échange de ces données, mais ce n'est pas le cas. Ici, ils ont néanmoins été sauvés puisque n'utilisant pas de chiffrement, ils n'ont pas risqué de se retrouver face à une faille du système de chiffrement. D'autres ont par contre été touchés et cela peut avoir des incidences graves.

Le dernier point à aborder pour la question de la connexion est celui des cookies de session. En effet, une fois connecté, le site place un petit fichier dans votre machine afin de vous éviter de vous reconnecter à chaque visite : un cookie. Ceux-ci peuvent aussi dans certains cas être récupérés et recrées par un attaquant qui pourra ainsi se connecter à votre place, même sans connaître vos identifiants. Là aussi il s'agit d'un problème grave, notamment lorsque des éléments importants sont indiqué dans les comptes des utilisateurs.

DO NOT login to http://t.co/Cy7atsRLqT /at all/. Heartbleed hasn’t been fixed, your password can easily be exposed. pic.twitter.com/f3nofmxrLO

— James Long (@ac3xx) 8 Avril 2014

Yahoo! a par exemple été assez vite repéré puisque des relevés ont montré que des mots de passe pouvaient être récupérés via cette faille. La société n'a communiqué que tardivement et discrètement sur le sujet et a mis à jour l'ensemble de ses serveurs dans la fin de journée d'hier. LastPass a par contre communiqué assez ouvertement, comme de nombreux autres, et a indiqué que sa procédure était un peu plus sécurisée que la moyenne, mais que la potentielle fuite des clefs privées pouvait être un problème. La société a de son côté mis en ligne un site permettant de savoir si un site pouvait être touché et de quand datait le certificat utilisé pour le chiffrement, ce qui permet de savoir si il a récemment été renouvellé ou non.

Un autre cas relevé est celui de Darty. Si le domaine principal du revendeur est touché, ce n'est pas le seul. Et celui qui gère la sécurité de la connexion des membres l'est aussi. C'est encore le cas à l'heure où nous écrivons ces lignes et nous avons pu récupérer des identifiants / mot de passe en quelques minutes. Si vous êtes client de l'enseigne et que vous vous êtes connecté récemment, changez donc au plus vite vos mots de passe sur tous vos autres services en attendant qu'elle ne corrige cette faille. Pour le moment, il nous a simplement été indiqué que ses équipes étaient alertées et travaillaient à la résolution du souci, qui n'est toujours pas corrigé :

@David_NXi Bonjour, nos équipes techniques sont informées du point, merci de votre alerte

— Darty (@Darty_Officiel) 9 Avril 2014

Dois-je m'inquiéter pour ma carte bleue et l'accès à mes comptes ?

L'autre cas sensible est celui des services bancaires. Là, deux points sont à surveiller : le premier concerne la connexion à vos comptes en ligne. Certains services ont été touchés, mais tout semble désormais corrigé. Si vous vous êtes connectés à votre compte dans les deux jours qui viennent de s'écouler, il est donc préférable de chercher à changer de mot de passe par sécurité. Nous avons contacté de nombreux organismes afin qu'ils nous confirment s'ils ont été concernés ou pas et quelles sont les procédures mises en place pour leurs clients. Des associations telles que l'AFUB ou l'UFC Que Choisir devraient d'ailleurs assez rapidement s'emparer du sujet.

L'autre problème concerne les systèmes de paiement en ligne utilisés par les sites de vente. Car oui, certains ont été touchés. C'est notamment le cas de celui du groupe CIC / Crédit Mutuel. D'après nos relevés, certains domaines du groupes étaient vulnérables, mais cela a été ensuite résorbé. Dans le cas du Crédit Mutuel par exemple, tout est rentré dans l'ordre ce matin. C'est ce qui nous a poussés à couper l'accès à nos abonnements puis à le réouvrir dans la matinée. Le site Capitaine Train a d'ailleurs fait de même, ou a plutôt opté pour le service Paybox en attendant que le prestataire de la banque soit mis à jour.

Le système de paiement du Crédit Mutuel était vulnérable jusqu'à ce matin, vers 8h

Pour autant, est-ce que votre numéro de carte bleue est en danger ? Nous n'avons pas trouvé de trace confirmant que de telles informations avaient pu être récupérées en clair. Cela ne veut pas dire que cela n'a pas été le cas, mais nous ne pouvons pas l'affirmer. Là aussi nous avons interrogé les banques pour en savoir plus, et l'on devrait apprendre de nombreux détails avec le recul.

D'après nos constatations, un attaquant pouvait néanmoins récupérer de nombreuses informations : l'e-mail d'un acheteur, le site où il a effectué son achat, le montant de la transaction, etc. Bref, dans le meilleur des cas, tout ce qu'il faut pour lancer une bonne campagne de phishing. Là aussi donc, soyez prudent sur les emails que vous allez recevoir dans les mois à venir, et surveiller vos comptes : en cas de problème, prévenez immédiatement votre banque, qui se doit d'agir.

Bien entendu, de nombreux nouveaux éléments vont arriver sur le sujet dans les jours à venir. Nous n'hésiterons pas à faire des points réguliers et à mettre à jour cette actualité si nécessaire. En attendant, si vous avez la moindre question, n'hésitez pas à la poser au sein de nos commentaires, cela pourra éventuellement nous aider à compléter cet article.