Heartbleed : des cas français existent et les banques ne sont pas épargnées

La semaine dernière, la faille de sécurité Heartbleed était dévoilée. Touchant OpenSSL, celle-ci a concerné des milliers de services plus ou moins sensibles de par le monde. Depuis, chaque pays découvre des cas plus ou moins graves. Tous ? Non ! « Un petit village d'irréductibles Gaulois résiste encore et toujours à l'envahisseur. » C'est en tout cas ce que certains aimeraient bien nous faire croire. Nous avons néanmoins trouvé des cas concrets.

Non, la France n'a pas été épargnée. Le Crédit Mutuel a corrigé la faille le mercredi 9 avril au matin

La frontière française ne protège pas seulement des retombées de nuages radioactifs, elle protège aussi des failles informatiques. C'est en tout cas ce que l'on peut être amené à penser lorsque l'on regarde les différentes annonces, et le traitement médiatique autour de la faille Heartbleed. En effet, comme nous l'avons plusieurs fois évoqué, rares sont les sociétés françaises qui avouent avoir eu à faire face à ce problème, et encore plus rares sont celles qui prennent la peine de prévenir leurs clients des données concernées et des risques encourus. Pourquoi le feraient-elles d'ailleurs, puisqu'elles n'en ont pas (encore) l'obligation ?

La communication autour d'Heartbleed n'est pas mauvaise, elle est souvent inexistante

En marge de nos propres découvertes, nos confrères de Slate avaient cherché à dresser une liste des sociétés françaises touchées ou non, en se basant sur le modèle de Mashable. Comme l'on pouvait s'en douter, c'est peine perdue, puisqu'il est impossible de contacter tout le monde, que les seuls qui répondent le font pour dire qu'ils ne sont pas concernés et qu'il est très compliqué de vérifier la véracité des propos tenus. En effet, une fois le serveur mis à jour, qui pourra dire s'il a été touché ou non ?

Une façon de faire qui est bien loin de ce qui peut se pratiquer dans d'autres pays. Outre les nombreux services étrangers massivement utilisés qui ont rapidement communiqué de manière transparente sur le sujet, on note l'exemple de l'Agence du Revenu du Canada qui a vite indiqué qu'elle était touchée par la faille. Elle a donc décidé de couper ses services pour éviter une fuite supplémentaire, mais a néanmoins découvert que près de 900 numéros d'assurance sociale avaient été récupérés.

Après une période de silence pour permettre à la Gendarmerie royale du Canada d'enquêter, elle a finalement annoncé qu'elle contacterait les personnes concernées par lettre recommandée. Quelques jours plus tard on apprenait qu'un étudiant en sciences informatiques à l'Université de Western Ontario, où son père est professeur d'informatique, était soupçonné d'être à l'origine de la récupération de ces données. Arrêté à son domicile mardi, Stephen Arthuro Solis-Reyes, âgé de seulement 19 ans, comparaîtra à Ottawa le 17 juillet 2014.

Le silence souvent de mise en France, malgré des cas concrets

Et en France ? Rien. Les services de l'État qui ont clairement annoncé la couleur l'ont fait pour expliquer qu'ils n'étaient pas concernés, comme le service des impôts par exemple :

#rappel Le site http://t.co/k24JstB3Wo et la déclaration en ligne ne sont pas (et n'ont jamais été) impactés par la faille dite #heartbleed

— FinancesPubliquesFr (@dgfip_officiel) 16 Avril 2014

Mais c'est tout. Un cas est spécialement intéressant à analyser : celui des banques. En effet, elles multiplient aussi les annonces sur les réseaux sociaux pour évoquer le fait qu'elles n'ont pas été concernées, et parfois même via des communiqués de presse. Nos confrères du Monde ou des Echos ont ainsi évoqué leur tentative de rassurer leurs clients, alors que de nombreux cas suisses ont été relevés. Mais est-ce vraiment si rose dans la pratique ? Comme nous allons le voir, il n'en est rien.

Car de notre côté, nous avons cherché à identifier des serveurs dont nous pouvons affirmer qu'ils ont été touchés et dont nous avons pu avoir connaissance des données qui auraient pu être récupérées. Suite à nos différents articles, vous avez d'ailleurs été nombreux à nous contacter via différents canaux pour nous apporter des preuves concernant différents cas que nous sommes en train d'étudier. N'hésitez pas à continuer à le faire.

Avoir des informations précises relève du parcours du combattant

Mais même avec ces informations, il est parfois compliqué d'en savoir plus et d'obtenir des réponses. Le premier cas que nous avions étudié, Darty, est un exemple du genre. Après de multiples sollicitations, la société a finalement décidé de nous répondre et d'envoyer un email d'avertissement à ses clients. Un email qui minimisait un peu le problème, puisque le serveur touché était celui gérant la connexion au service, rien de moins.

Mais même dans nos communications récentes, le groupe nous indique qu'« il n’y a pas eu de circulation en clair des mots de passe sur les serveurs de Darty. Les données auraient pu éventuellement être déchiffrables entre le navigateur et le serveur. Sur le serveur lui-même le mot de passe est immédiatement chiffré dès réception avant d’être stocké (toujours de manière chiffrée) en base. »

Or les données récupérées le sont dans la mémoire du serveur, et peuvent donc l'être avant le chiffrement et le stockage. C'est d'ailleurs bien le cas, et dans les données pouvant être renvoyées par le serveur on pouvait bien trouver des URL contenant différents paramètres, dont l'identifiant de connexion (une adresse email) et le mot de passe associé. Un point sur lequel nous n'avons pas eu de détails supplémentaires, notre dernier échange n'ayant donné lieu à aucune réponse nouvelle.

Lorsque le flou entretient les réponses positives

Le second cas que nous avions étudié était bancaire. En effet, très rapidement, certains ont remarqué que les plateformes de paiement du groupe CIC / Crédit Mutuel étaient touchées. Mais si l'on regarde bien le compte Twitter du second, par exemple, il indique à ses clients que la banque a été épargnée. Une réponse nette, mais qui est ambiguë.

@mpetitdant Mathieu, il nous a été confirmé par notre service sécurité que nous n'étions pas concerné par cette faille de sécurité.

— Crédit Mutuel (@Credit_Mut) 9 Avril 2014

Le service principal, qui permet de se connecter pour accéder à ses comptes, a sans doute été épargné. Ce qui permet de diffuser cette affirmation. Mais quid de tous les autres services de la banque ? La question étant imprécise, la réponse se permet de l'être. Car effectivement, ces plateformes de paiement étaient touchées et laissaient fuiter des informations personnelles, mais aucune donnée bancaire semble-t-il. Il était simplement possible de savoir le montant d'un achat, de connaître des informations sur l'acheteur ou le service concerné, bref, de quoi diffuser de belles campagnes de phishing.

La correction de la faille aura parfois duré un certain temps, puisque nous avons pu relever que la plateforme du Crédit Mutuel n'a été mise à jour que le mercredi matin.

La banque épargnée. Et son service de coffre-fort numérique pour vos documents ?

Le dernier cas que nous avons pu confirmer nous semble néanmoins plus problématique et concerne la BNP. Celle-ci affirmait en effet aussi à ses clients être épargnée par Heartbleed. Là encore, c'était très certainement le cas pour l'accès aux comptes, mais pas pour son service Sécurité Plus.

@TimotheeK Bonjour, nous ne sommes pas affectés par HeartBleed, mais changer de code régulièrement reste un bon reflex ;-) ^Ge

— BNP Paribas SAV (@BNPParibas_SAV) 14 Avril 2014

Pour rappel, il s'agit s'un service d'assurance, proposé aux clients de la banque, mais qui contient aussi une sorte de coffre-fort numérique dans lequel vous êtes incités à stocker certains documents et même des numéros de cartes de paiements. Les conditions générales précisent bien qu'il permet « l’enregistrement, la mémorisation et la restitution à l’Assuré des numéros d’identification ». Parmi les éléments cités on retrouve les informations « des cartes bancaires et du porte-monnaie électronique Moneo [...] des numéros du Compte garanti [...] des Papiers officiels, du numéro d’identification du porte-clés de sécurité, ainsi que des données personnelles éventuelles confiées par l’Assuré »

Problème : le site exploitait une version d'OpenSSL touchée par Heartbleed et permettait donc de récupérer n'importe laquelle de ces données si elle venait à transiter par le serveur au moment où l'attaquant siphonnait sa mémoire.

Dans un premier temps, nous avons interrogé le compte Twitter de la banque pour savoir pourquoi il n'évoquait pas plus précisément les services touchés. En privé, après une vérification auprès des services techniques, il nous a confirmé le problème et sa correction, en précisant : « nous effectuons les vérifications pour savoir s'il a été réellement touché ». Et concernant l'information des clients ? Notre contact a tenu à nous rassurer en ajoutant : « en cas d'incident, les clients seront contactés par nos services. »

En cas de problème, le client sera protégé... est-ce une raison ?

Mais l'incident est-il la fuite des données ou leur éventuelle exploitation ? Les clients seront néanmoins rassurés par deux points : ce service de stockage est justement associé à une assurance contre les utilisations frauduleuses et la loi oblige dans tous les cas les services bancaires à couvrir l'utilisateur en cas de problème, que ce dernier soit issu d'une fuite ou non.

L'article L133-18 du Code monétaire et financier précise en effet qu'« en cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse immédiatement au payeur le montant de l'opération non autorisée et, le cas échéant, rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu. Le payeur et son prestataire de services de paiement peuvent décider contractuellement d'une indemnité complémentaire. » L'article L133-24 précise effectivement les conditions dans lesquelles cela doit être effectué : 

« L'utilisateur de services de paiement signale, sans tarder, à son prestataire de services de paiement une opération de paiement non autorisée ou mal exécutée et au plus tard dans les treize mois suivant la date de débit sous peine de forclusion à moins que le prestataire de services de paiement ne lui ait pas fourni ou n'ait pas mis à sa disposition les informations relatives à cette opération de paiement conformément au chapitre IV du titre 1er du livre III. Sauf dans les cas où l'utilisateur est une personne physique agissant pour des besoins non professionnels, les parties peuvent convenir d'un délai distinct de celui prévu au présent article. »

Nous avons bien entendu demandé des détails complémentaires au service presse de la BNP, afin d'en savoir plus sur la façon dont les utilisateurs de ce service allaient être contactés et ce qui serait mis en place pour les protéger, la faille n'ayant été corrigée qu'au bout de quelques jours. Nous n'avons pour le moment pas pu en savoir plus, le service ayant simplement précisé : « Nous avons pris en compte cette alerte et  toutes les mesures de protection nécessaires ont été prises. »

Les leçons à tirer de Heartbleed et de ses conséquences

Mais au final, ces différents cas nous apprennent plusieurs choses. Tout d'abord, il faut se méfier des effets d'annonces des différents services concernant Heartbleed, et ne pas hésiter à insister, à poser des questions précises pour en savoir plus et à vérifier que les sites sur lesquels vous vous connectez ne sont plus touchés, notamment via l'outil en ligne de Qualys (voir notre émission dédiée à Heartbleed). On regrettera d'ailleurs que les services publics ne semblent pas se saisir de cette problématique, et n'incitent pas plus les sociétés potentiellement concernées à communiquer de manière transparente autour de cette faille. Cela aiderait pourtant tout le monde à y voir bien plus clair et éviterait de passer des heures à vérifier le moindre cas.

Ensuite, n'hésitez pas à surveiller vos comptes ces prochaines semaines et ces prochains mois, afin de pouvoir détecter tout problème et alerter votre banque au plus vite si cela était le cas. Cette recommandation peut d'ailleurs s'appliquer tout au long de l'année, comme celles concernant la gestion de vos mots de passe. Prenez aussi garde aux emails que vous recevez. Nous avons en effet déjà été alertés de plusieurs cas de phishing. Comme nous l'avions déjà évoqué, la gendarmerie a mis en ligne une page explicative avec des contacts à utiliser en cas de problème. Vous pourrez aussi effectuer un signalement via la plateforme Pharos ainsi que sur phishing initiative. 

L'authentification en deux étapes lancées par Blizzard il y a quelques années

Enfin, utilisez les outils de sécurité mis à votre disposition par les différents services que vous utilisez. La connexion en deux étapes est ainsi largement proposée et s'avère efficace en cas de vol de vos mots de passe. Malheureusement, des technologies telles que 3D Secure seront pour leur part sans effet ou presque, puisqu'elles ne sont pas systématiquement implémentées par les revendeurs qui peuvent accepter un numéro de carte dérobé, que ce soit en France ou à l'étranger.

Deux amendements proposés l'année dernière visaient à la rendre obligatoire. Le premier a été rejeté, le second a été retiré. Ses opposants évoquent en effet un système mal conçu, inadapté au web et méconnu du grand public. En attendant une refonte, ou l'émergence de systèmes plus efficaces, l'utilisateur devra donc attendre que sa sécurité soit mieux assurée.