Heartbleed : tandis qu’Android est menacé, la NSA nie toute implication

L’actualité de la sécurité a été marquée récemment par la faille dite « Heartbleed », un trou béant dans le protocole OpenSSL. Menaçant de très nombreux sites, la révélation de la brèche a engendré une avalanche de mises à jour, notamment pour les serveurs touchés. Mais le danger pourrait également toucher les appareils et applications mobiles selon plusieurs chercheurs en sécurité.

Crédits : snoopsmaus, licence Creative Commons

Heartbleed ne fait pas de distinction entre les plateformes 

La faille Heartbleed doit son nom à son origine. Découverte au sein de l’extension HeartBeat de la bibliothèque OpenSSL, utilisée par de nombreux logiciels, systèmes d’exploitation et appareils, elle représente un danger bien réel. Exploitée, elle peut permettre le vol des identifiants de connexions, les données transitant par une connexion a priori sécurisée et jusqu’aux informations bancaires quand un paiement en ligne est effectué.

Depuis la version 1.0.1 d’OpenSSL, pourtant sortie en 2012, la faille permet en fait à un utilisateur malintentionné de récupérer jusqu’à 60 Ko de données stockées par un serveur via une requête spécialement conçue. Il s’agit d’une porte dérobée dans une connexion prolongée, l’extension HeartBeat devant son nom au fait que le client et le serveur s’échangent de temps à autre des signaux pour vérifier que la communication est toujours active. L’Electronic Frontier Foundation avait d’ailleurs appelé à une utilisation renforcée des mécanismes dits de « perfect forward secrecy », qui empêchent que la compromission d’un lot de données se répercute sur les autres. Ce qui peut se faire avec la faille Heartbleed.

Mais si l’on a beaucoup parlé des sites web, directement touchés par cette brèche, la situation ne s’y limite pas. Les applications mobiles ainsi que les smartphones peuvent y être sujets. C’est ce qu’indique notamment la société de sécurité Lookout Mobile. Son principal chercheur en sécurité, Marc Rogers, avertit ainsi que plusieurs versions d’Android sont vulnérables, notamment les moutures 4.1.1 et même certaines variantes de la 4.2.2 lorsqu’elles ont été modifiées par des constructeurs, comme cela arrive souvent avec le système de Google.

L'attaque la plus simple passerait par un site web malveillant 

Selon l’expert, s’en prendre aux mobiles Android n’est pas aussi simple qu’attaquer un serveur vulnérable, mais la manipulation peut néanmoins être mise en place. Son exploitation la plus aisée passerait par un site malveillant contenant des liens spécifiques vers des sites importants comme ceux des banques. Le lien contiendrait bien l’adresse du site bancaire mais serait accompagné d’instructions supplémentaires pour introduire du code malveillant. Une fois ouvert dans un nouvel onglet, le site va échanger des informations avec l’appareil, qui pourront être récupérées par l’attaquant.

Deux facteurs cependant limitent l’efficacité de l’exploitation de la faille. D’une part, les appareils sous Android 4.1.X ne représentent qu’un tiers du parc Android. En outre, la sandbox, mécanisme de sécurité qui consiste à isoler un ou plusieurs composants dans une zone de mémoire spécifique, empêche théoriquement ce genre de fuite de données. Elle ne s’applique cependant qu’au cas où une application tierce voudrait récupérer les dites données.

Attention aux réseaux Wi-Fi 

Il faut donc garder en mémoire que la faille Heartbleed représente un danger réel pour une partie du parc Android et que le danger est maximisé lors de l’utilisation des réseaux Wi-Fi. D’autant que, comme le rappelle Mike Rogers, Heartbleed peut être utilisée en conjonction avec d’autres failles de sécurité. Il appelle donc ceux qui ont un appareil vulnérable à faire particulièrement attention aux réseaux auxquels ils se connectent. Il existe d’ailleurs une application conçue pour renseigner l’utilisateur à ce sujet, Heartbleed Detector, créée par Lookout Mobile.

Mais le principal danger viendra du correctif. Google a déjà confirmé qu'une mise à jour était en développement et que les partenaires étaient sollicités pour la diffuser dès que possible. Comme c’est régulièrement le cas avec Android, tous les appareils ne la recevront pas et la faille continuera de pouvoir être exploitée sur une partie du parc affecté.

La tempête se calme, la plupart des sites ont été mis à jour 

Dans un communiqué publié samedi, Symantec annonce de son côté plusieurs informations intéressantes. Ainsi, les sites du classement Top 1 000 d’Alexa ne sont plus vulnérables à la faille. Les corrections ont été pour la plupart très rapidement déployées. Dans le Top 50 000, le pourcentage de sites vulnérables ne dépasse pas 1,8 %, ce qui prouve là encore une bonne réactivité des entreprises concernées.

Du côté des entreprises, qu’elles possèdent elles-mêmes leurs propres serveurs ou qu’elles les louent, elles doivent s’assurer que la mise à jour vers OpenSSL 1.0.1g a bien été faite. Une fois cette étape réalisée, un nouveau certificat de sécurité doit être mis en place.

Côté utilisateurs, Symantec propose un outil permettant de savoir si le site est vulnérable ou non. Pour savoir si tel est bien le cas, attention cependant : il faut chercher spécifiquement le symbole vert indiquant que tout est en ordre, comme avec amazon.com par exemple. Il est recommandé de ne changer les mots de passe que lorsque l'indicateur est au vert, et d'attendre pour les autres que ce soit le cas. Dans le cas de Castorama par exemple, le site n'est plus vulnérable à Heartbleed, mais le certificat n'a toujours pas été mis à jour puisqu'il date toujours du 19 décembre 2012.

La NSA affirme ne jamais avoir utilisé Heartbleed 

Il est globalement admis cependant que la faille Heartbleed n’a pas encore dévoilé tous ses secrets et ses répercussions potentielles. L’un des aspects polémiques de la faille est l’implication de la NSA. Un article publié samedi par Bloomberg indiquait ainsi que l’agence américaine de sécurité était au courant de la faille depuis deux ans, et qu’elle l’avait par ailleurs largement exploitée. À tel point d’ailleurs que la faille, découverte en décembre 2011, serait devenue l’un des principaux outils dans l’aspiration des données.

Ces informations ont pris un tour plus sérieux lorsqu’un deuxième article, du New York Times cette fois, est venu affirmer que non seulement la NSA avait bien exploité Heartbleed, mais qu’elle avait en plus reçu expressément le feu vert de la Maison Blanche. Le journal américain rappelle que la NSA est coutumière de l’exploitation des failles et qu’il s’agit de la face sombre de l’agence, l’autre concernant au contraire l’amélioration générale de la sécurité. Ce qui rappelle directement les recommandations d’un panel d’experts qui avait demandé à Barack Obama d’agir pour que l’agence retrouve sa mission première, à savoir la protection. Les actions en « sous-marin » de la NSA avaient par ailleurs été largement dénoncées par Edward Snowden, ainsi que par Tim Berners-Lee.

Pour autant, l’agence s’est fendue d’un communiqué pour nier toute utilisation de la faille Heartbleed : « La NSA n'était pas au courant de la vulnérabilité récemment identifiée dans OpenSSL, appelée Heartbleed, jusqu'à ce qu'elle soit rendue publique dans un rapport d'une société privée de sécurité informatique. Les informations faisant état du contraire sont fausses ».

Une affirmation appuyée par Caitlin Hayden, porte-parole du Conseil de sécurité nationale, qui s’est appuyée sur un argument simple : « Le gouvernement fédéral a lui aussi recours à l'OpenSSL pour protéger les utilisateurs des sites gouvernementaux. Cette administration prend au sérieux sa responsabilité d'aider au maintien d'un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avaient découvert cette vulnérabilité avant la semaine passée, elle en aurait informé la communauté responsable d'OpenSSL ».