HeartBleed : 200 000 serveurs et appareils toujours vulnérables

La faille HeartBleed, qui touchait la bibliothèque OpenSSL, n’a pas fini de faire parler d’elle. À l’heure actuelle, presque 200 000 serveurs et appareils seraient encore vulnérables, alors même que les correctifs ont été déployés il y aura bientôt trois ans.

En avril 2014, le monde de la sécurité était en effervescence. L’extension Heartbeats, dans la bibliothèque OpenSSL, était victime d’une brèche critique. Elle existait depuis décembre 2011, ce qui laissait de nombreuses versions vulnérables. Cette bibliothèque étant utilisée par une bonne part des distributions Linux, des systèmes Unix et par OS X, la situation était sérieuse, au point que des sites avaient momentanément fermé. Exploitée, la faille permettait de révéler une partie des informations circulant sur une connexion chiffrée.

Toujours 200 000 installations vulnérables

La révélation de la faille s’était faite en même temps que la diffusion d’une nouvelle version d’OpenSSL. Estampillée 1.0.1g, elle avait été reprise immédiatement et placée dans les mécanismes de mise à jour de tous les produits concernés. Pourtant, presque trois ans plus tard, il reste de nombreux serveurs encore vulnérables, même si l’ensemble s’est considérablement amenuisé.

Ainsi, selon les chiffres fournis par le moteur de recherche Shodan (qui permet de scanner les ports réseau en masse sur Internet), presque 200 000 serveurs et appareils seraient ainsi encore touchés par HeartBleed. Pourquoi ? Tout simplement parce que les administrateurs concernés n’ont pas mis à jour la bibliothèque OpenSSL, quelle que soit l’implémentation dans le système utilisé. Notez que le nombre d'installations touchées en 2014 était estimé à 600 000.

Mais il est étonnant que seulement deux tiers des serveurs soient sortis de l’équation en presque trois ans. Critique et largement médiatisée, la faille aurait en effet dû recevoir une attention immédiate. Pourtant, le problème est similaire à celui de l’attaque contre les bases de données MongoDB : des instances créées chez des prestataires comme Amazon Web Services et laissées en l’état pendant des années.

Un grand nombre d'installations situées aux États-Unis

Comme indiqué dans le rapport de Shodan, près de 52 000 serveurs Apache HTTPD restent exposés à Heartbleed. Les instances ont été créées avec des versions vulnérables, dans la grande majorité les 2.2.22 et 2.2.15. Une bonne majorité des connexions supportent TLS 1.2. Pour John Matherly, fondateur de Shodan, cela traduit un chiffrement correct, mais de vieilles dépendances. Pour information, TLS 1.3 existe bien, mais encore sous forme de brouillon.

Les serveurs vulnérables sont également nombreux à être situés aux États-Unis. Là encore, ce n’est pas étonnant : de nombreux prestataires de services y sont situés, notamment Amazon et Verizon. Près d’un quart des soucis détectés concernent ainsi des serveurs américains. On en compte également plus de 15 000 en Corée du Sud, environ 14 000 en Chine et en Allemagne, ou encore 8 700 environ en France.

Sur l’ensemble des installations vulnérables détectées, les trois quarts concernent avant tout les connexions HTTPS, qui ne sont, pour rappel, pas spécifiques à des sites web. Viennent ensuite HTTPS sur le port 8443 et webmin, mais loin derrière. Idem, une immense majorité des connexions vulnérables se négocient en HTTP/1.1, suivies par plusieurs versions du protocole SPDY. Dans la plupart des cas, les systèmes vulnérables sont des distributions Linux équipées d’une mouture 3.x du noyau.

Le tiers des irréductibles 

Sur les 600 000 serveurs concernés lors des premières révélations autour de HeartBleed, environ deux tiers ont donc été corrigés. Ce dernier tiers pose problème, car le simple fait que ces instances n’aient pas encore reçu de correctif souligne l’inquiétude de leur relatif « abandon » : si personne n’a géré la situation depuis presque trois ans, y a-t-il des chances qu’elle le soit à l’avenir ?

Ces 200 000 installations, quelles qu’elles soient, pourraient rester vulnérables pendant encore un bon moment, laissant les services liés exposés à des risques de fuites d’informations.