novembre 3, 2017

OpenSSL : le point sur Heartbleed

Home / Case Management / OpenSSL : le point sur Heartbleed

Depuis la médiatisation de sa découverte au début du mois d’avril, la faille dite Heartbleed a fait couler beaucoup d’encre. Faille majeure s’il en est, Hearbleed est en réalité une erreur de codage dans le logiciel de cryptage OpenSSL. Les sites qui utilisent OpenSSL sont — ou ont été pendant quelques jours — très vulnérables au vol de données. Massive pour les uns,  effarante pour les autres, en tout état de cause la faille est à prendre très au sérieux. Le point sur Heartbleed en quatre questions.

Qu’est-ce que Heartbleed ?

Heartbleed n’est ni un malware ni un virus. Il s’agit d’une faille dans l’implémentation du protocole de sécurité OpenSSL. Ce dernier est utilisé pour valider les communications entre deux ordinateurs tout en s’assurant de l’identité de ceux-ci.  Heartbleed permet à n’importe quel internaute de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL. Il compromet les clés secrètes utilisées pour identifier les fournisseurs de services et pour crypter le trafic, les noms et les mots de passe des utilisateurs. Il permet également aux pirates d’écouter les communications, et de voler des données directement à partir des serveurs.

La faille d’OpenSSL réside dans une petite ligne de code :

memcpy (bp, pl, payload) ;

La commande memcpy permet de copier des données tout en écrasant les données précédemment copiées. Or, avec Heartbleed, les données sont classées par le système comme de l’information à effacer sans l’être toutefois, et la faille permet de dérober ces données.

Quelle est l’importance de la faille ?

Heartbleed permet de récupérer des données d’un poids maximal de 64 Ko, cela peut paraitre insignifiant. Néanmoins cela représente une quantité d’informations importante en texte brut (64.000 caractères !). Mises bout à bout, les données récupérées sur tous les serveurs vulnérables représentent une masse d’informations colossale. Par ailleurs « Le nombre d’attaques que les hackers peuvent effectuer est sans limite », indique Fox-IT, entreprise spécialisée dans la sécurité informatique.

L’identité des hackers peut également se révéler importante. Ainsi la National Security Agency (NSA) a été accusée, quelques jours après la découverte de la faille, de l’avoir exploitée pendant près de deux ans afin de collecter un maximum de données sur les internautes. Alors que les remous de l’affaire Edward Snowden commençaient à se tasser, ces accusations sont de bien mauvais augure pour l’agence américaine.

La faille a-t-elle été bien corrigée ?

Le protocole OpenSSL a été développé sous la forme de logiciel libre. Cela permet à ses utilisateurs de modifier son code source, et de faire face à des failles de cette ampleur. Pour l’April, une association de promotion du logiciel libre, la nature ouverte du code a « permis de réduire considérablement l’impact de cette faille ». OpenSSL a été mis à jour mais cela ne règle pas tous les problèmes pour autant. En effet, il est nécessaire que la mise à jour soit installée sur les serveurs vulnérables.

La plupart des sites internet les plus utilisés avaient déjà installé la mise à jour du protocole avant la médiatisation de la faille. Leurs serveurs ne sont donc plus vulnérables à cette faille.

Pourtant des erreurs sont vite arrivées. Ainsi la société Akamai Technologies qui gère près de 30% du trafic mondial sur ses 147.000 serveurs, en a fait l’amère expérience. Depuis plus de 10 ans, Akamai utilise une version modifiée d’OpenSSL qui a apporté une « meilleure protection » contre la faille Heartbleed selon le directeur de la technologie de la société. C’est sans compter sur un chercheur indépendant qui a trouvé dans le patch fourni par Akamai à ses clients « un code bourré de bugs et non fonctionnel ». Le chercheur estime en outre que la mise à jour ne protège pas correctement contre Heartbleed. Cela est particulièrement inquiétant quand on sait que les clients d’Akamai sont de grands établissements bancaires, des groupes médias et des sociétés spécialisées dans le commerce électronique.

Mais il est possible que d’autres failles soient révélées. En effet, OpenSSL est critique pour les sites internet qui l’utilisent, mais le projet est loin d’être viable. Ses développeurs sont « désespérément sous-financés » selon le directeur de la recherche pour Sophos. Le Wall Street Jounal indique par ailleurs que seuls quatre développeurs travaillent sur le projet, dont un seul à temps complet.

Que faire coté utilisateurs ?

Du coté des utilisateurs, deux étapes sont cruciales pour être certain de ne pas voir ses informations personnelles dérobées. D’abord, il est nécessaire de s’assurer que les sites web utilisés ont mis à jour leur version d’OpenSSL. C’est le cas de la plupart des sites, notamment les réseaux sociaux et les sites des banques, mais une vérification est malgré tout essentielle.

La seconde étape est de changer ses mots de passe. Ce changement doit être fait après la mise à jour d’OpenSSL, sans quoi des hackers pourraient récupérer le nouveau mot de passe.

Dernier conseil afin de s’assurer de la sécurité de ses données sur internet : varier les mots de passe. Ce conseil est connu mais malheureusement trop peu appliqué. Il est pourtant capital. Ainsi, un mot de passe unique et difficilement décryptable est de bon augure sur les sites sensibles tels que ceux des établissements bancaires. Les mots de passe trop simples tels que « motdepasse » ou « 123456 » sont évidemment à prohiber, quel que soit le site sur lequel ils sont utilisés.