Heartbleed : attention à cette méchante faille OpenSSL

Anthony Nelzin-Santos |

C’est avec stupeur que le monde a découvert l’existence d’Heartbleed, une faille majeure d’OpenSSL. Une surprise d’autant plus grande que la société de sécurité qui l’a découvert a préféré se faire un coup de pub avec un site dédié plutôt que d’avertir les développeurs de cette implémentation SSL/TLS open source et des principaux systèmes l’utilisant.

Une conduite extrêmement légère au vu de la gravité de cette faille : elle permet à un attaquant d’accéder directement à la mémoire des machines touchées. De quoi récupérer les clefs privées de chiffrement et compromettre l’ensemble des données hébergées, sans laisser la moindre trace. En testant cette faille, les chercheurs ont pu accéder « aux clefs privées de [leurs] certificats X.509, identifiants et mots de passe, messages, courriers, documents professionnels et communications. »

Heartbleed touche OpenSSL 1.0.1 à 1.0.1f, ainsi que la préversion 1.0.2, sur diverses versions de Debian, Ubuntu, CentOS, Fedora, OpenBSD, FreeBSD, NetBSD et OpenSUSE. Un correctif est d’ores et déjà disponible, mais il faudra du temps avant qu’il soit largement diffusé, temps pendant lequel de très nombreux serveurs seront ouverts aux quatre vents. Même lorsque le correctif sera appliqué sur une majorité de serveurs, tous les problèmes ne seront pas rentrés dans l’ordre : les services devront régénérer leurs certificats et les utilisateurs leurs mots de passe, ce qui prendra là encore du temps.

Un certain nombre de sociétés ont donc décidé de fermer leurs services dans l’intervalle, comme Minecraft ou Wunderlist, alors que d’autres comme Cloudflare et Gandi ont mis à jour leur infrastructure. Un test permet de savoir si un site précis est concerné, mais n’est pas fiable à 100 %. Les serveurs de Yahoo! et Amazon semblent touchés, mais pas ceux de Google, d’Apple ni de certaines banques, qui utilisent d’autres implémentations de SSL/TLS.

[MàJ à 22h10] Yahoo! a patché sa page d'accueil, son moteur de recherche, son service de messagerie, Flickr, Tumblr et quelques-uns de ses sites média.

avatar Hari-seldon | 

chaud !
;-)

avatar joneskind | 

Effectivement, ça craint.

avatar albinoz | 

Une prise de conscience , ou un hasard ?

avatar Trollolol | 

Aucun hasard, heartbeat ça date de 2012 et pour un chercheur en sécu/hacker openssl, de par son utilisation très très répandue et un certain laxisme sur les implémentations, est un terrain de choix.

Mais bon ya de très forte chance que des agences de renseignements en est fait une utilisation et en est d'autres sous le coude mais vue que celle la ne laisse pas de trace on en aura pas la confirmation sans un snowden...

avatar jujuhtst | 

C'est un peu n'importe quoi le premier paragraphe.

Les développeurs ont été informés, et une mise à jour pour les OS était dispo dès cette nuit (Debian par exemple).

Après si Yahoo a mis des plombes à corriger leur truc, c'est un autre problème. Surtout qu'il y a eu plein de "fuites" de comptes vu que l'"exploit" fonctionnait à merveille... Bande de blaireaux chez Yahoo, comprend pas comment cette boite existe encore !

avatar Trollolol | 

Ya pas que Yahoo, si les fonctionnaires des services IT de France pouvaient se réveiller...

avatar Anthony Nelzin-Santos | 
@jujuhtst : nous n'avons visiblement pas la même notion de l'utilité de la « disclosure » et de son planning avant annonce publique.
avatar jujuhtst | 

Là c'était tellement critique que s'ils n'avaient pas communiqué, les boites ne se seraient pas bougées. Là, il n'y avait pas trop le choix. Déjà que Yahoo (et d'autres "gros") ont mis des plombes...

Cela a permis aussi aux "hébergeurs du dimanche" (via des raspberry pi, NAS & co) de voir que leur machine est vulnérable (ou pas) et de corriger ça (ou bloquer le bidule) avait qu'un petit malin récupère tout le contenu.

avatar Mithrandir | 

Ce comportement de truant est malheureusement classique maintenant chez les sociétés de sécurité qui font ça pour de faire de la pub à bon compte.

avatar Trollolol | 

Vu que ça permet de récup des infos directement depuis la RAM du serveur sans que ça ne se remarque, la faute aux sociétés de sécu si elle mettent en plein jour un problème ultra critique...

avatar iRobot 5S | 

@Mithrandir :
Le problème c'est que beaucoup de gens ne leur ferons plus confiance si c'est pour dévoiler les failles découvertes au grand jour avant qu'une mise a jour de sécurité ne soit donné.

avatar Djerfy | 

Cette faille de sécurité est effectivement majeure et le vols de vos données était possible.
Effectivement je confirme que la faille est sortie le 07/04, soit quelques jours avant.
Les plus grosses boites (Google, Yahoo, Amazon, ... ) ont corrigé le problème si elles étaient vulnérables.

Par contre je confirme que le vol des données (login/password) était bien possible. Par contre pas regardé en détails en ce qui concerne les clés x509. Mais mieux vaut refaire une génération de son certificat au cas ou.

avatar Joseph Papier | 

Attention pour les possesseurs de NAS, au moins certains modèles sont touchés comme mon Synology DS413j... Par précaution j'ai coupé tous les accès HTTPS momentanément, j'ai retesté ensuite avec heartbleader.exe qui ne l'a plus considéré comme vulnérable, donc ça a l'air bon, en attendant que Synology déploient une mise à jour.

avatar esclandre | 

ce serait bien de préciser la source : 20 min

avatar jujuhtst | 

Mouahahah !!! Tous les média d'info en ont parlé avant les journalistes...

avatar Trollolol | 

T'es méchant, il l'a vu aussi sur TF1. :)

Comme si la presse poubelle était une source alors qu'elle pompe la quasi totalité de ses articles sur des sites spécialisés...

CONNEXION UTILISATEUR