Heartbleed: vulnérabilité annoncée le 7 avril 2014

Qu'est-ce que Heartbleed?

Heartbleed est le nom donné à une vulnérabilité introduite dans le code de la bibliothèque OpenSSL il y a environ 2 ans.

OpenSSL est le logiciel qui chiffre (confidentialité) et signe (confiance, intégrité) de l'ordre de 2/3 des échanges de données chiffrés SSL/TLS sur Internet (le petit cadenas et le préfixe https://).

Cette vulnérabilité --- une erreur de programmation -- permet potentiellement à un attaquant d'obtenir des informations contenues dans l'espace mémoire d'un processus utilisant le réseau et une version vulnérable de la bibliothèque OpenSSL.

Comme le code introduit il y a deux ans servait à ajouter une fonctionnalité de test d'existence du partenaire (battement de coeur / heartbeat), la vulnérabilité a été nommée Heartblead.

Quel est l'impact ?

La vulnérabilité est potentiellement très sévère: vol des clés privées des serveurs SSL/TLS, voire d'informations personnelles (mots de passe, etc).

Mais cette vulnérabilité n'est pas forcément présente: par exemple, sur ALPHANET, seul un serveur virtuel en test non public utilisait la version vulnérable. Cela signifie qu'aucun des serveurs en production n'a jamais été compromis par cette vulnérabilité et donc qu'aucun de nos utilisateurs ne devrait avoir vu ses données compromises.

De plus, même si nous avions été vulnérables, comme la vulnérabilité a été annoncée le 7 avril, et que déjà quelques heures après, le correctif était distribué, l'impact devrait être limité. Un changement de clé privée est toutefois, dans ce cas, recommandé. L'impact peut être plus grand si les exploitants ne mettent pas à jour rapidement. Si l'on peut exclure qu'un attaquant ait découvert cette vulnérabilité dans le passé, ne l'ait pas annoncée et l'ait exploitée, le problème est limité à une fenêtre entre l'annonce publique et l'installation des correctifs, soit quelques heures. Sinon (NSA?), une étude d'impact doit avoir lieu, avec évt. la changement de certains mots de passe, en plus bien sûr de la clé privée.

Enfin, c'est surtout les serveurs qui risquaient gros (en particulier le vol de leurs clés privées), voire le trafic entre vous et eux, voire éventuellement quelques données personnelles. On cite p.ex. Yahoo qui était encore vulnérable un jour après l'annonce.

En résumé, le risque est déjà passé, globalement. Pour les utilisateurs finaux, l'impact devrait être nul. Mais dans certains cas, un changement de mot de passe ou le passage à des technologies plus fortes d'authentification (mot de passe unique OTP) pourrait être une bonne idée.

Si vous exploitez un serveur, mettez-le à jour normalement, et testez ensuite.

Intéressant est de constater qu'une des conséquences de cette vulnérabilité est une scrutinisation de la bibliothèque SSL concernée et le passage à PFS pour le chiffrement des échanges: PFS (la sécurité du futur, Perfect Forward Security) permet d'éviter qu'en cas de vol de clé privée à temps t, on puisse déchiffrer le traffic stocké avant t. En effet c'est un échange Diffie-Hellman signé qui permet d'établir la clé de chiffrement symétrique, qui n'est plus envoyé chiffrée.

En savoir plus

Cet article de rue89 est pas mal.

-- MarcSCHAEFER - 10 Apr 2014