L’histoire retiendra le 7 avril 2014 comme l’annonce d’une des plus importantes failles de sécurité informatique jamais vues dans l’histoire d’Internet. Cette faille permet aux personnes mal intentionnées de récupérer les informations des internautes transmises habituellement de façon cryptée (mots de passes, données bancaires…). Elle a été découverte par l’équipe de sécurité de Google et des ingénieurs de la société Codenomicon. Retour sur une question de sécurité majeure.
Pour comprendre Heartbleed, décryptons OpenSSL
Pour appréhender ce qui se cache derrière cette faille au nom plutôt original, il est important de rappeler le contexte dans lequel elle s’applique. Il faut savoir que la sécurisation des échanges sur Internet (chiffrement des communications, authentification…) est souvent assurée par des protocoles, tels que SSL (Secure Sockets Layer) ou encore TLS (Transport Layer Security).
Afin d’utiliser et d’implémenter ces protocoles, les développeurs ont recours à Open SSL, une sorte de boîte à outils Open Source.
C’est précisément dans une extension d’OpenSSL, nommée Heartbeat, qu’une vulnérabilité a été identifiée. Son nom : Heartbleed.
Le mot « Heartbeat » (« battement de coeur » en anglais), désigne le lancement régulier de requêtes destinées à vérifier que la connexion avec un équipement distant est encore active.
La faille réside dans l’implémentation de l’échange client/serveur, où un système peut demander à l’autre de ne pas renvoyer un simple indicateur de présence, mais jusqu’à 64 Ko de données.
C’est là tout le problème : dans le cas d’une communication entre un client et un serveur, si la taille de réponse demandée par le client est supérieure à la réponse du serveur, celui-ci renverra aléatoirement des données présentes dans sa mémoire jusqu’à atteindre cette taille.
Lorsque cette faille est exploitée, le serveur renvoie aléatoirement des données présentes dans sa mémoire.
Dans le cas d’un serveur web il peut s’agir notamment de données d’authentification transmises par les clients ou encore de clés de chiffrement utilisées par le serveur.
En d’autres termes, l’exploitation de cette faille peut potentiellement rendre accessible tout le contenu normalement chiffré d’une communication utilisant OpenSSL.
Une vulnérabilité présente depuis 2012
*Le MITRE est une organisation à but non lucratif gérant notamment le dictionnaire CVE (Common Vulnerabilities and Exposures) dans lequel a été publiée la faille.
*La date indiquée dans le CVE n’indique pas le jour où la faille a été identifiée mais celui où l’identifiant (CVE-2014-0160) a été alloué.
La faille existe donc depuis deux ans. L’ampleur du problème est d’autant plus grande que les attaques perpétrées en utilisant cette faille ne laissent pas de traces dans les journaux d’évènements des systèmes (logs).
Les conséquences de la faille
Une grande partie des acteurs du net, de tous horizons, se voit impactée par cette faille de sécurité. Parmi eux, on retrouve notamment Facebook, Yahoo ou encore Dropbox. Pour en savoir plus, une liste des principaux sites vulnérables est disponible sur Internet.
Les chiffres exacts sur le nombre de sites impactés ainsi que ceux précisant les conséquences de la faille ne sont pas encore connus. Toutefois, il y a fort à parier qu’une grande partie des serveurs Internet sont (ou ont été) vulnérables.
Bien qu’une attention particulière soit portée sur les acteurs majeurs du net, particuliers comme professionnels font partie des victimes potentielles.
Pour les premiers, les actions suivantes sont recommandées :
- Consulter la liste des sites vulnérables sur internet
- Changer son mot de passe sur les sites concernés
- Vérifier régulièrement ses comptes si des coordonnées bancaires ont été transmises récemment
Pour les professionnels, les recommandations du CERT Solucom sont disponibles sur Solucom Insight.
Les conséquences de ce tremblement de terre ne sont pas encore totalement connues bien que l’on puisse d’ores et déjà affirmer qu’il s’agit d’une des failles de sécurité les plus importantes de ces dix dernières années.
Pour plus d’informations, un site Internet dédié a été mis en place et un bulletin d’alerte officiel émis par l’ANSSI est disponible.