Heartbleed

Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de mars 2012, qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue^[1].

Histoire

La vulnérabilité aurait été introduite par erreur^[2] dans le référentiel d'OpenSSL, à la suite d'une proposition de correction de bugs et d'améliorations de fonctionnalités, par un développeur bénévole^[2]^,^[3]. La proposition a été examinée et validée par l'équipe d'OpenSSL le 31 décembre 2011^[4], et le code vulnérable a été ajouté dans la version 1.0.1 d'OpenSSL, le 14 mars 2012^[5]^,^[6]^,^[7].

En avril 2014, le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon^[8]^,^[7].

Conséquences

Cette faille pourrait permettre à des internautes mal intentionnés de récupérer des informations situées sur les serveurs d'un site vulnérable, à l'insu de l'utilisateur qui les possède. Ces informations personnelles sont censées être inaccessibles et protégées, mais cependant plusieurs experts ont retrouvé des mots de passe d'utilisateurs de sites victimes. Néanmoins, un informaticien de Google ayant participé à la correction de la faille reste plus mesuré et écrit n'avoir vu que des informations parcellaires ou ne pas avoir vu d'informations sensibles^[9].

La vulnérabilité a mis en évidence le manque de moyens des logiciels libres tels que OpenSSL et a mené à un projet de financement groupé de ces derniers par de nombreuses entreprises informatiques majeures (Amazon Web Services, Microsoft, Google, Facebook, etc.). Ce projet commun est nommé Core Infrastructure Initiative^[10]^,^[11].

Les résultats d'audit semblent montrer que certains « attaquants » peuvent avoir exploité la faille pendant au moins cinq mois avant qu'elle ne soit officiellement découverte et corrigée^[12]^,^[13].

Les appareils sous Android 4.1.1 sont concernés par la faille, soit un peu moins de 10 % des appareils actifs^[14].

L'influence possible de la faille a d'abord été abordée par le principe de précaution, de nombreux sites demandant à leurs utilisateurs de changer leur mot de passe après avoir appliqué les mises à jour de sécurité. Le 11 avril 2014, CloudFlare explique que ses spécialistes en sécurité n'ont pas réussi à exploiter la faille pour extraire des clés de sécurité SSL, en déduisant que les risques encourus sont peut-être moins importants que prévu^[15]. Pour le vérifier l'entreprise lance un concours d'exploitation de la faille, qui est remporté dans la journée par deux personnes^[16].

Selon Bloomberg, la National Security Agency (NSA) a exploité la faille pendant au moins deux ans, pour des opérations de surveillance et d'espionnage^[17]. L'agence dément le jour même^[18].

Des experts, dont Johannes Ullrich du SANS Institute, indiquent que la mise à jour des certificats de sécurité des navigateurs web ralentirait l'accès à certains sites^[19].

Le site de Filippo Valsorda permet de tester si un site est vulnérable ou non^[9].

Versions vulnérables

Les versions antérieures (0.9.8 et 1.0.0) d'OpenSSL ne sont pas vulnérables à ce bug^[7].
Les versions 1.0.1 (disponibles depuis décembre 2011) à 1.0.1f (incluse) d'OpenSSL sont vulnérables^[7].
La version 1.0.1g disponible depuis le 7 avril 2014 corrige le bug^[7].

Services et logiciels affectés

Sites internet

Les sites suivants ont été affectés ou ont fait des annonces recommandant à leurs utilisateurs de changer leurs mots de passe, à la suite du bug :

Applications

De nombreuses applications sont affectées par ce bug. Les éditeurs fournissent des mises à jour, par exemple :

IPCop a publié le 8 avril 2014 une version 2.1.4a afin de corriger le bug^[44] ;
L'application de gestion de mots de passe en ligne LastPass Password Manager (en) ;
LibreOffice 4.2.3 publiée le 10 avril 2014^[45] ;
LogMeIn indique proposer la mise à jour de nombreux produits qui reposaient sur OpenSSL^[46] ;
Serveurs d'applications HP^[47] ;
McAfee^[48] ;
VMware series^[49].

Des services de jeux en ligne comme Steam, Minecraft, League of Legends, GOG.com, Origin Systems, Secret of Evermore, Humble Bundle, et Path of Exile sont aussi affectés^[50].

Systèmes d'exploitation

Android 4.1.1 (Jelly Bean), utilisé dans de nombreux smartphones^[51]
Firmware de routeurs Cisco Systems^[52]^,^[53]^,^[54]
Firmware de routeurs Juniper Networks^[53]^,^[55]
Firmware des disques durs Western Digital de la gamme de produits "My Cloud" (intégrant une solution de stockage dans le Cloud Computing)^[56]

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Heartbleed » (voir la liste des auteurs).

Annexes

Sur les autres projets Wikimedia :

Heartbleed, sur Wikinews

Articles connexes

Liens externes

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

Search