Vulnérabilité logicielle d’OpenSSL

Cet Internet nous gâche la vie. C’est un jouet pour adolescents qui est riche en erreurs et en faiblesses informatiques. La preuve en est encore apportée aujourd’hui avec la faiblesse d’OpenSSL, procédure informatique dite de « grande sécurité », qui en fait comporte une erreur impardonnable qu’ont décelée rapidement les cybercriminels.

On a appris en effet avec étonnement la vulnérabilité relative à l’extension de « Heartbeat OpenSSL », une boîte à outils en open-source censée aider les webmasters et les développeurs à effectuer des transactions de façon plus sécurisée. Si elle est mise en jeu – et on ne peut pas savoir si ceci a eu lieu – cette vulnérabilité peut signifier le viol d’une suite de transactions sur les sites et les applications qui utilisent OpenSSL.

La protection OpenSSL est utilisée par de nombreux sites Web et des logiciels, sur les serveurs open source Apache et nginx, des serveurs de messagerie, des serveurs de clavardage, des réseaux privés virtuels (VPN) et même des équipements de réseau. La vulnérabilité appelée « Bug Heartbleed », existe sur toutes les mises en œuvre OpenSSL qui utilisent l’extension Heartbeat. En exploitation sur un serveur non protégé, Heartbleed peut permettre à un attaquant de lire jusqu’à la valeur de 64 ko de la mémoire de l’ordinateur, sans laisser de traces.

Cette partie d’informations peut contenir des clés privées, des noms d’utilisateur, des mots de passe qui la plupart du temps sont en langage clair, les informations de carte de crédit ainsi que des documents confidentiels. L’attaquant pourrait encore redemander autant d’informations qu’il voudrait et ce défaut peut être exploité par n’importe qui sur Internet et n’importe où. À l’origine, la faiblesse Heartbleed est une erreur de programmation simple et ordinaire qui conduit à des problèmes de sécurité. Pour être clair, elle envoie le contenu de la mémoire sans vérifier ni la taille de l’envoi, ni son contenu, ni à qui cet envoi est fait.

Enfin, cette attaque ne laisse aucune trace et il est difficile de dire si elle a été déjà exploitée auparavant. Il semble que seules les versions 1.0.1 et 1.0.2 d’OpenSSL soient touchées, y compris les versions beta1 de 1.0.1f et 1.0.2. Les  autres versions d’OpenSSL ne sont pas affectées par ce bug. Les utilisateurs concernés doivent se mettre à niveau avec la version OpenSSL 1.0.1g qui a un Heartbleed fixe. Les certificats SSL doivent également être remplacés par de nouveaux afin de ne pas affecter les clés privées. Pour plus de sécurité, de nouveaux certificats SSL doivent être générés. Les utilisateurs devraient aussi être invités à changer leurs mots de passe sur leurs comptes en ligne. Ils devraient aussi surveiller toute activité suspecte dans leurs comptes bancaires.

Google déploie actuellement un correctif de sécurité pour une variante de l’OS Android vulnérable à la faille de sécurité Heartbleed faille de sécurité. Google a déclaré que seule est concernée la version Android 4.1.1 – la version Jelly Bean. Pour en savoir plus, voir http://blog.trendmicro.com/  et www.cellular-news.com/

© 2015 Strategies Telecoms & Multimedia | Contact |  -