Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Heartbleed : tandis qu'Android est menacé, la NSA nie toute implication

Il faudra sans doute encore un peu de temps pour connaître toutes les retombées
Mobilité 6 min
Heartbleed : tandis qu'Android est menacé, la NSA nie toute implication

L’actualité de la sécurité a été marquée récemment par la faille dite « Heartbleed », un trou béant dans le protocole OpenSSL. Menaçant de très nombreux sites, la révélation de la brèche a engendré une avalanche de mises à jour, notamment pour les serveurs touchés. Mais le danger pourrait également toucher les appareils et applications mobiles selon plusieurs chercheurs en sécurité.

heartbleed

Crédits : snoopsmaus, licence Creative Commons

Heartbleed ne fait pas de distinction entre les plateformes 

La faille Heartbleed doit son nom à son origine. Découverte au sein de l’extension HeartBeat de la bibliothèque OpenSSL, utilisée par de nombreux logiciels, systèmes d’exploitation et appareils, elle représente un danger bien réel. Exploitée, elle peut permettre le vol des identifiants de connexions, les données transitant par une connexion a priori sécurisée et jusqu’aux informations bancaires quand un paiement en ligne est effectué.

 

Depuis la version 1.0.1 d’OpenSSL, pourtant sortie en 2012, la faille permet en fait à un utilisateur malintentionné de récupérer jusqu’à 60 Ko de données stockées par un serveur via une requête spécialement conçue. Il s’agit d’une porte dérobée dans une connexion prolongée, l’extension HeartBeat devant son nom au fait que le client et le serveur s’échangent de temps à autre des signaux pour vérifier que la communication est toujours active. L’Electronic Frontier Foundation avait d’ailleurs appelé à une utilisation renforcée des mécanismes dits de « perfect forward secrecy », qui empêchent que la compromission d’un lot de données se répercute sur les autres. Ce qui peut se faire avec la faille Heartbleed.

 

Mais si l’on a beaucoup parlé des sites web, directement touchés par cette brèche, la situation ne s’y limite pas. Les applications mobiles ainsi que les smartphones peuvent y être sujets. C’est ce qu’indique notamment la société de sécurité Lookout Mobile. Son principal chercheur en sécurité, Marc Rogers, avertit ainsi que plusieurs versions d’Android sont vulnérables, notamment les moutures 4.1.1 et même certaines variantes de la 4.2.2 lorsqu’elles ont été modifiées par des constructeurs, comme cela arrive souvent avec le système de Google.

L'attaque la plus simple passerait par un site web malveillant 

Selon l’expert, s’en prendre aux mobiles Android n’est pas aussi simple qu’attaquer un serveur vulnérable, mais la manipulation peut néanmoins être mise en place. Son exploitation la plus aisée passerait par un site malveillant contenant des liens spécifiques vers des sites importants comme ceux des banques. Le lien contiendrait bien l’adresse du site bancaire mais serait accompagné d’instructions supplémentaires pour introduire du code malveillant. Une fois ouvert dans un nouvel onglet, le site va échanger des informations avec l’appareil, qui pourront être récupérées par l’attaquant.

 

Deux facteurs cependant limitent l’efficacité de l’exploitation de la faille. D’une part, les appareils sous Android 4.1.X ne représentent qu’un tiers du parc Android. En outre, la sandbox, mécanisme de sécurité qui consiste à isoler un ou plusieurs composants dans une zone de mémoire spécifique, empêche théoriquement ce genre de fuite de données. Elle ne s’applique cependant qu’au cas où une application tierce voudrait récupérer les dites données.

Attention aux réseaux Wi-Fi 

Il faut donc garder en mémoire que la faille Heartbleed représente un danger réel pour une partie du parc Android et que le danger est maximisé lors de l’utilisation des réseaux Wi-Fi. D’autant que, comme le rappelle Mike Rogers, Heartbleed peut être utilisée en conjonction avec d’autres failles de sécurité. Il appelle donc ceux qui ont un appareil vulnérable à faire particulièrement attention aux réseaux auxquels ils se connectent. Il existe d’ailleurs une application conçue pour renseigner l’utilisateur à ce sujet, Heartbleed Detector, créée par Lookout Mobile.

 

Mais le principal danger viendra du correctif. Google a déjà confirmé qu'une mise à jour était en développement et que les partenaires étaient sollicités pour la diffuser dès que possible. Comme c’est régulièrement le cas avec Android, tous les appareils ne la recevront pas et la faille continuera de pouvoir être exploitée sur une partie du parc affecté.

La tempête se calme, la plupart des sites ont été mis à jour 

Dans un communiqué publié samedi, Symantec annonce de son côté plusieurs informations intéressantes. Ainsi, les sites du classement Top 1 000 d’Alexa ne sont plus vulnérables à la faille. Les corrections ont été pour la plupart très rapidement déployées. Dans le Top 50 000, le pourcentage de sites vulnérables ne dépasse pas 1,8 %, ce qui prouve là encore une bonne réactivité des entreprises concernées.

 

Du côté des entreprises, qu’elles possèdent elles-mêmes leurs propres serveurs ou qu’elles les louent, elles doivent s’assurer que la mise à jour vers OpenSSL 1.0.1g a bien été faite. Une fois cette étape réalisée, un nouveau certificat de sécurité doit être mis en place.

 

heartbleedCastorama Heartbleed

 

Côté utilisateurs, Symantec propose un outil permettant de savoir si le site est vulnérable ou non. Pour savoir si tel est bien le cas, attention cependant : il faut chercher spécifiquement le symbole vert indiquant que tout est en ordre, comme avec amazon.com par exemple. Il est recommandé de ne changer les mots de passe que lorsque l'indicateur est au vert, et d'attendre pour les autres que ce soit le cas. Dans le cas de Castorama par exemple, le site n'est plus vulnérable à Heartbleed, mais le certificat n'a toujours pas été mis à jour puisqu'il date toujours du 19 décembre 2012.

La NSA affirme ne jamais avoir utilisé Heartbleed 

Il est globalement admis cependant que la faille Heartbleed n’a pas encore dévoilé tous ses secrets et ses répercussions potentielles. L’un des aspects polémiques de la faille est l’implication de la NSA. Un article publié samedi par Bloomberg indiquait ainsi que l’agence américaine de sécurité était au courant de la faille depuis deux ans, et qu’elle l’avait par ailleurs largement exploitée. À tel point d’ailleurs que la faille, découverte en décembre 2011, serait devenue l’un des principaux outils dans l’aspiration des données.

 

Ces informations ont pris un tour plus sérieux lorsqu’un deuxième article, du New York Times cette fois, est venu affirmer que non seulement la NSA avait bien exploité Heartbleed, mais qu’elle avait en plus reçu expressément le feu vert de la Maison Blanche. Le journal américain rappelle que la NSA est coutumière de l’exploitation des failles et qu’il s’agit de la face sombre de l’agence, l’autre concernant au contraire l’amélioration générale de la sécurité. Ce qui rappelle directement les recommandations d’un panel d’experts qui avait demandé à Barack Obama d’agir pour que l’agence retrouve sa mission première, à savoir la protection. Les actions en « sous-marin » de la NSA avaient par ailleurs été largement dénoncées par Edward Snowden, ainsi que par Tim Berners-Lee.

 

Pour autant, l’agence s’est fendue d’un communiqué pour nier toute utilisation de la faille Heartbleed : « La NSA n'était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses ».

 

Une affirmation appuyée par Caitlin Hayden, porte-parole du Conseil de sécurité nationale, qui s’est appuyée sur un argument simple : « Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs des sites gouvernementaux. Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable d'OpenSSL ».

51 commentaires
Avatar de anonyme_d58ae7e2d09a5d3fb2e3eb976436dda3 INpactien

Comment est-ce qu'un client (tel qu'un appareil sous Android) pourrait-il être impacté par la faille, sachant que techniquement elle permet d'avoir accès à des données aléatoires stockées en RAM du serveur applicatif ?

Avatar de tAran INpactien
Avatar de tArantAran- 15/04/14 à 17:01:01

Suffit qu'un des journalistes du NY Times, Guardian et autres sortent le document Powerpoint qui va bien, et la NSA va tourner cacao :transpi:

Avatar de Fabimaru Abonné
Avatar de FabimaruFabimaru- 15/04/14 à 17:03:52

«un trou béant dans le protocole OpenSSL»

OpenSSL est une implémentation du protocole SSL/TLS, ce n'est pas un protocole en lui-même.

Avatar de sr17 INpactien
Avatar de sr17sr17- 15/04/14 à 17:08:03

Avec Internet, il est maintenant admis que tout appareil qui ne reçoit pas régulièrement des mises à jour de sécurité est un danger pour ses utilisateurs et pour le réseau tout entier.

On a beaucoup parlé de l'arrêt des mises à jour de Windows XP (après une durée de vie très très longue). Mais que fait t'on de tout ces smartphones dont les mises à jour ne durent souvent que pendant quelques mois ?

Pourquoi faut t'il toujours attendre qu'il arrive une catastrophe pour que l'on suive ce que le bon sens et la sagesse nous auraient commandé de faire ?

Avatar de anonyme_d58ae7e2d09a5d3fb2e3eb976436dda3 INpactien

hadoken a écrit :

Comment est-ce qu'un client (tel qu'un appareil sous Android) pourrait-il être impacté par la faille, sachant que techniquement elle permet d'avoir accès à des données aléatoires stockées en RAM du serveur applicatif ?

Je réponds à ma propre question après quelques recherches : en fait la faille est symétrique, c'est à dire qu'un serveur infecté peut également aller piocher dans la RAM du second peer utilisant un OpenSSL avec la faille (c'est donc le client, et donc un device Android en l'occurrence).

Donc ce qui serait possible serait d'emmener l'utilisateur vers une URL d'un site frauduleux, et de récupérer des données random de la RAM du smartphone.

Avatar de AirTé Abonné
Avatar de AirTéAirTé- 15/04/14 à 17:18:22

J'aime bien la miniature qui mentionne Amazon et l'agrandissement qui cible Darty :p

Avatar de gathor Équipe
Avatar de gathorgathor- 15/04/14 à 17:23:31

AirTé a écrit :

J'aime bien la miniature qui mentionne Amazon et l'agrandissement qui cible Darty :p

Fixed :chinois:

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 15/04/14 à 17:38:55

sr17 a écrit :

Avec Internet, il est maintenant admis que tout appareil qui ne reçoit pas régulièrement des mises à jour de sécurité est un danger pour ses utilisateurs et pour le réseau tout entier.

On a beaucoup parlé de l'arrêt des mises à jour de Windows XP (après une durée de vie très très longue). Mais que fait t'on de tout ces smartphones dont les mises à jour ne durent souvent que pendant quelques mois ?

Pourquoi faut t'il toujours attendre qu'il arrive une catastrophe pour que l'on suive ce que le bon sens et la sagesse nous auraient commandé de faire ?

C'est ce que je disais aussi sur une précédente actu qui parlait des durées de support d'Android (et à mes yeux, des OS smartphone en général).
Garder un système obsolète non supporté sur un réseau est une connerie monumentale.

D'un côté ça hurle à la mort parce que Microsoft veut abandonner un OS obsolète de plus de dix ans, de l'autre tout le monde est content de voir qu'un smartphone a six mois d'update système... Deux poids deux mesures. :craint:

Sinon pour la NSA, je dirais juste qu'ils ont pas besoin d'exploiter la faille, quand on a un accès premium partout pourquoi se faire chier à entrer par la backdoor de service ? :francais:
(oui c'était gratuit :transpi:)

Avatar de Oungawak INpactien
Avatar de OungawakOungawak- 15/04/14 à 17:41:33

gathor a écrit :

Fixed :chinois:

Publicité subliminale ! Z'avez pas honte !? :cartonrouge:

:francais:

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 15/04/14 à 18:13:43

Et le sous titre de la 1ere news sur Heartbleed était...
Tiens, aurait-on découvert une backdoor de la NSA ? :8

Édité par psn00ps le 15/04/2014 à 18:14
Il n'est plus possible de commenter cette actualité.
Page 1 / 6
  • Introduction
  • Heartbleed ne fait pas de distinction entre les plateformes 
  • L'attaque la plus simple passerait par un site web malveillant 
  • Attention aux réseaux Wi-Fi 
  • La tempête se calme, la plupart des sites ont été mis à jour 
  • La NSA affirme ne jamais avoir utilisé Heartbleed 
S'abonner à partir de 3,75 €