Heartbleed
Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL à partir de , qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en et rendue publique le , elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, auraient été touchés par la faille au moment de la découverte du bogue[1].
Histoire
modifierLa vulnérabilité aurait été introduite par erreur[2] dans le référentiel d'OpenSSL, à la suite d'une proposition de correction de bugs et d'améliorations de fonctionnalités, par un développeur bénévole[2],[3]. La proposition a été examinée et validée par l'équipe d'OpenSSL le [4], et le code vulnérable a été ajouté dans la version 1.0.1 d'OpenSSL, le [5],[6],[7].
En , le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon[8],[7].
Conséquences
modifierCette faille pourrait permettre à des internautes mal intentionnés de récupérer des informations situées sur les serveurs d'un site vulnérable, à l'insu de l'utilisateur qui les possède. Ces informations personnelles sont censées être inaccessibles et protégées, mais cependant plusieurs experts ont retrouvé des mots de passe d'utilisateurs de sites victimes. Néanmoins, un informaticien de Google ayant participé à la correction de la faille reste plus mesuré et écrit n'avoir vu que des informations parcellaires ou ne pas avoir vu d'informations sensibles[9].
La vulnérabilité a mis en évidence le manque de moyens des logiciels libres tels que OpenSSL et a mené à un projet de financement groupé de ces derniers par de nombreuses entreprises informatiques majeures (Amazon Web Services, Microsoft, Google, Facebook, etc.). Ce projet commun est nommé Core Infrastructure Initiative[10],[11].
Les résultats d'audit semblent montrer que certains « attaquants » peuvent avoir exploité la faille pendant au moins cinq mois avant qu'elle ne soit officiellement découverte et corrigée[12],[13].
Les appareils sous Android 4.1.1 sont concernés par la faille, soit un peu moins de 10 % des appareils actifs[14].
L'influence possible de la faille a d'abord été abordée par le principe de précaution, de nombreux sites demandant à leurs utilisateurs de changer leur mot de passe après avoir appliqué les mises à jour de sécurité. Le , CloudFlare explique que ses spécialistes en sécurité n'ont pas réussi à exploiter la faille pour extraire des clés de sécurité SSL, en déduisant que les risques encourus sont peut-être moins importants que prévu[15]. Pour le vérifier l'entreprise lance un concours d'exploitation de la faille, qui est remporté dans la journée par deux personnes[16].
Selon Bloomberg, la National Security Agency (NSA) a exploité la faille pendant au moins deux ans, pour des opérations de surveillance et d'espionnage[17]. L'agence dément le jour même[18].
Des experts, dont Johannes Ullrich du SANS Institute, indiquent que la mise à jour des certificats de sécurité des navigateurs web ralentirait l'accès à certains sites[19].
Le site de Filippo Valsorda permet de tester si un site est vulnérable ou non[9].
Versions vulnérables
modifierServices et logiciels affectés
modifierSites internet
modifierLes sites suivants ont été affectés ou ont fait des annonces recommandant à leurs utilisateurs de changer leurs mots de passe, à la suite du bug :
- Akamai Technologies[20]
- Amazon Web Services[21]
- Ars Technica[22]
- Bitbucket[23]
- BrandVerity[24]
- Freenode[25]
- GitHub[26]
- IFTTT[27]
- Internet Archive[28]
- Mojang[29]
- Mumsnet[30]
- PeerJ[31]
- Pinterest[32]
- Prezi[33]
- Reddit[34]
- Something Awful[35]
- SoundCloud[36]
- SourceForge[37]
- SparkFun[38]
- Stripe[39]
- Tumblr[40],[41]
- Wattpad[citation nécessaire]
- Wikimédia (incluant Wikipédia)[42]
- Wunderlist[43]
Applications
modifierDe nombreuses applications sont affectées par ce bug. Les éditeurs fournissent des mises à jour, par exemple :
- IPCop a publié le une version 2.1.4a afin de corriger le bug[44] ;
- L'application de gestion de mots de passe en ligne LastPass Password Manager (en) ;
- LibreOffice 4.2.3 publiée le [45] ;
- LogMeIn indique proposer la mise à jour de nombreux produits qui reposaient sur OpenSSL[46] ;
- Serveurs d'applications HP[47] ;
- McAfee[48] ;
- VMware series[49].
Des services de jeux en ligne comme Steam, Minecraft, League of Legends, GOG.com, Origin Systems, Secret of Evermore, Humble Bundle, et Path of Exile sont aussi affectés[50].
Systèmes d'exploitation
modifier- Android 4.1.1 (Jelly Bean), utilisé dans de nombreux smartphones[51]
- Firmware de routeurs Cisco Systems[52],[53],[54]
- Firmware de routeurs Juniper Networks[53],[55]
- Firmware des disques durs Western Digital de la gamme de produits "My Cloud" (intégrant une solution de stockage dans le Cloud Computing)[56]
Notes et références
modifier- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Heartbleed » (voir la liste des auteurs).
- (en) « Half a million widely trusted websites vulnerable to Heartbleed bug »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?) (consulté le ), Netcraft, 8 avril 2014.
- (en) « Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately », Sydney Morning Herald, .
- « Meet the man who created the bug that almost broke the Internet », Globe and Mail, (lire en ligne).
- « #2658: [PATCH] Add TLS/DTLS Heartbeats », OpenSSL, .
- (en) Codenomicon Ltd, « Heartbleed Bug », (consulté le ).
- (en) Dan Goodin, « Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping », Ars Technica, (consulté le ).
- Site d'information sur le bug - heartbleed.com, le 12 avril 2014.
- Premier email d'information sur le bug, 6 avril 2014, Site du référentiel d'OpenSSL.
- « Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? », Le Monde, (lire en ligne, consulté le ).
- (en-US) « Group Backed by Google, Microsoft to Help Fund OpenSSL and Other Open Source Projects », Threatpost | The first stop for security news, (lire en ligne, consulté le )
- Nicole Perlroth, « Companies Back Initiative to Support OpenSSL and Other Open-Source Projects », sur Bits Blog (consulté le )
- (en-US) Sean Gallagher, « Heartbleed vulnerability may have been exploited months before patch [Updated] », Ars Technica, (lire en ligne, consulté le )
- (en) Peter Eckersley, « Wild at Heart: Were Intelligence Agencies Using Heartbleed in November 2013? », Electronic Frontier Foundation, (lire en ligne, consulté le )
- (en) Jordan Robertson, « Millions of Android Devices Vulnerable to Heartbleed Bug », sur Bloomberg, (consulté le ).
- (en) Nick Sullivan, « Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed? », sur CloudFlare, (consulté le ).
- (en) « The Heartbleed Challenge »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), sur CloudFlare.
- (en) Michael Riley, « NSA Said to Exploit Heartbleed Bug for Intelligence for Years », sur Bloomberg, (consulté le ).
- (en) ODNI Public Affairs Office, « IC on the Record », sur Office of the Director of National Intelligence, Tumblr, (consulté le ).
- « Heartbleed : attendez-vous à des lenteurs sur Internet », sur Le Figaro, (consulté le ).
- « Heartbleed FAQ: Akamai Systems Patched », Akamai Technologies, (lire en ligne).
- « AWS Services Updated to Address OpenSSL Vulnerability », Amazon Web Services, (lire en ligne).
- « Dear readers, please change your Ars account passwords ASAP », Ars Technica, (lire en ligne).
- « All Heartbleed upgrades are now complete », BitBucket Blog, (lire en ligne).
- « Keeping Your BrandVerity Account Safe from the Heartbleed Bug », BrandVerity Blog, (lire en ligne).
- « Twitter / freenodestaff: we've had to restart a bunch... », .
- « Security: Heartbleed vulnerability », GitHub, (lire en ligne).
- « IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed », LifeHacker, (lire en ligne).
- « Heartbleed bug and the Archive | Internet Archive Blogs », Blog.archive.org, (consulté le ).
- « Twitter / KrisJelbring: If you logged in to any of », Twitter.com, (consulté le ).
- Leo Kelion, « BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency », BBC News, .
- (en) « The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ », PeerJ, (lire en ligne).
- « Was Pinterest impacted by the Heartbleed issue? », Help Center, Pinterest (consulté le ).
- « Heartbleed Defeated »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?) (consulté le ).
- Staff, « We recommend that you change your reddit password », Reddit, (consulté le ).
- « IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI » (consulté le ).
- Brendan Codey, « Security Update: We’re going to sign out everyone today, here’s why », SoundCloud, (lire en ligne).
- "ctsai", « SourceForge response to Heartbleed », SourceForge, (lire en ligne).
- « Heartbleed », SparkFun, (lire en ligne).
- « Heartbleed », Stripe (company), (lire en ligne, consulté le ).
- « Tumblr Staff-Urgent security update », (consulté le ).
- Alex Hern, « Heartbleed: don't rush to update passwords, security experts warn », The Guardian, (lire en ligne).
- Greg Grossmeier, « Wikimedia's response to the "Heartbleed" security vulnerability », Wikimedia Foundation blog, Wikimedia Foundation, (consulté le ).
- « Wunderlist & the Heartbleed OpenSSL Vulnerability », .
- (en) IPCop, « IPCop 2.1.4 is released », SourceForge electronic mailing lists, (consulté le ).
- (en) italovignoli, « LibreOffice 4.2.3 is now available for download » [archive du ], sur The Document Foundation, (consulté le ).
- « LogMeIn and OpenSSL », LogMeIn, (lire en ligne, consulté le ).
- « HP Servers Communication: OpenSSL "HeartBleed" Vulnerability »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), .
- « McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products », sur McAfee KnowledgeBase, McAfee, .
- « Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" », VMware, Inc (consulté le ).
- Paul Younger, « PC game services affected by Heartbleed and actions you need to take »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), IncGamers, .
- (en) « Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected », BGR Media, .
- Alexis Kleinman, « The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do », The Huffington Post, (lire en ligne).
- (en) Danny Yadron, « Heartbleed Bug Found in Cisco Routers, Juniper Gear »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), Dow Jones & Company, Inc, .
- (en) « Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products »(Archive.org • Wikiwix • Archive.is • Google • Que faire ?), Cisco, .
- (en) « 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160) », Juniper Networks, .
- (en) « Heartbleed Bug Issue », Western Digital, (lire en ligne).