Heartbleed
Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de , qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en et rendue publique le , elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue[1].
Histoire
La vulnérabilité aurait été introduite par erreur[2] dans le référentiel d'OpenSSL, à la suite d'une proposition de correction de bugs et d'améliorations de fonctionnalités, par un développeur bénévole[2],[3]. La proposition a été examinée et validée par l'équipe d'OpenSSL le [4], et le code vulnérable a été ajouté dans la version 1.0.1 d'OpenSSL, le [5],[6],[7].
En , le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon[8],[7].
Conséquences
Cette faille pourrait permettre à des internautes mal intentionnés de récupérer des informations situées sur les serveurs d'un site vulnérable, à l'insu de l'utilisateur qui les possède. Ces informations personnelles sont censées être inaccessibles et protégées, mais cependant plusieurs experts ont retrouvé des mots de passe d'utilisateurs de sites victimes. Néanmoins, un informaticien de Google ayant participé à la correction de la faille reste plus mesuré et écrit n'avoir vu que des informations parcellaires ou ne pas avoir vu d'informations sensibles[9].
La vulnérabilité a mis en évidence le manque de moyens des logiciels libres tels que OpenSSL et a mené à un projet de financement groupé de ces derniers par de nombreuses entreprises informatiques majeures (Amazon Web Services, Microsoft, Google, Facebook, etc.). Ce projet commun est nommé Core Infrastructure Initiative[10],[11].
Les résultats d'audit semblent montrer que certains « attaquants » peuvent avoir exploité la faille pendant au moins cinq mois avant qu'elle ne soit officiellement découverte et corrigée[12],[13].
Les appareils sous Android 4.1.1 sont concernés par la faille, soit un peu moins de 10 % des appareils actifs[14].
L'influence possible de la faille a d'abord été abordée par le principe de précaution, de nombreux sites demandant à leurs utilisateurs de changer leur mot de passe après avoir appliqué les mises à jour de sécurité. Le , CloudFlare explique que ses spécialistes en sécurité n'ont pas réussi à exploiter la faille pour extraire des clés de sécurité SSL, en déduisant que les risques encourus sont peut-être moins importants que prévu[15]. Pour le vérifier l'entreprise lance un concours d'exploitation de la faille, qui est remporté dans la journée par deux personnes[16].
Selon Bloomberg, la National Security Agency (NSA) a exploité la faille pendant au moins deux ans, pour des opérations de surveillance et d'espionnage[17]. L'agence dément le jour même[18].
Des experts, dont Johannes Ullrich du SANS Institute, indiquent que la mise à jour des certificats de sécurité des navigateurs web ralentirait l'accès à certains sites[19].
Le site de Filippo Valsorda permet de tester si un site est vulnérable ou non[9].
Versions vulnérables
Services et logiciels affectés
Sites internet
Les sites suivants ont été affectés ou ont fait des annonces recommandant à leurs utilisateurs de changer leurs mots de passe, à la suite du bug :
- Akamai Technologies[20]
- Amazon Web Services[21]
- Ars Technica[22]
- Bitbucket[23]
- BrandVerity[24]
- Freenode[25]
- GitHub[26]
- IFTTT[27]
- Internet Archive[28]
- Mojang[29]
- Mumsnet[30]
- PeerJ[31]
- Pinterest[32]
- Prezi[33]
- Reddit[34]
- Something Awful[35]
- SoundCloud[36]
- SourceForge[37]
- SparkFun[38]
- Stripe[39]
- Tumblr[40],[41]
- Wattpad[citation nécessaire]
- Wikimédia (incluant Wikipédia)[42]
- Wunderlist[43]
Applications
De nombreuses applications sont affectées par ce bug. Les éditeurs fournissent des mises à jour, par exemple :
- IPCop a publié le une version 2.1.4a afin de corriger le bug[44] ;
- L'application de gestion de mots de passe en ligne LastPass Password Manager (en) ;
- LibreOffice 4.2.3 publiée le [45] ;
- LogMeIn indique proposer la mise à jour de nombreux produits qui reposaient sur OpenSSL[46] ;
- Serveurs d'applications HP[47] ;
- McAfee[48] ;
- VMware series[49].
Des services de jeux en ligne comme Steam, Minecraft, League of Legends, GOG.com, Origin Systems, Secret of Evermore, Humble Bundle, et Path of Exile sont aussi affectés[50].
Systèmes d'exploitation
- Android 4.1.1 (Jelly Bean), utilisé dans de nombreux smartphones[51]
- Firmware de routeurs Cisco Systems[52],[53],[54]
- Firmware de routeurs Juniper Networks[53],[55]
- Firmware des disques durs Western Digital de la gamme de produits "My Cloud" (intégrant une solution de stockage dans le Cloud Computing)[56]
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Heartbleed » (voir la liste des auteurs).