La révélation d’une faille de sécurité dans Open SSL a, plusieurs jours durant, semé la panique chez de nombreux utilisateurs craignant pour la confidentialité de leurs données critiques personnelles. Les hébergeurs ont heureusement réagi dès l’alerte donnée pour mettre à jour leur dispositif avec le patch approprié.
Le 7 avril 2014, une importante faille de sécurité était révélée avec un certain retentissement puisqu’elle affectait OpenSSL, un logiciel libre (open source) largement utilisé par de nombreux sites web y compris commerciaux pour sécuriser les connexions et les transactions de leurs utilisateurs. Ce logiciel est en effet installé sur les serveurs dans le but d’établir des connexions chiffrées et sécurisées et de protéger les données transmises (en particulier les identifiants, les mots de passe et les informations liées aux cartes de crédit). L’utilisation de cette protection est signalée aux utilisateurs par l’affichage d’un symbole, une image de cadenas, qui est mis en évidence lors d’une opération de paiement en ligne, ou dans l’URL d’un site commence qui commence par « https » (avec « s » pour « sécurisé »). Ces indications étaient sensées certifier qu’un éventuel intercepteur des données d’utilisateurs ne pouvait les lire en clair, donc les utiliser ensuite dans une opération frauduleuse. Or, il s’est avéré que les versions d’OpenSSL 1.0.1 jusqu’à la révision 1.0.1f, ainsi que la version beta 1.0.2, étaient affectées d’une erreur de programmation commise par un développeur membre de la communauté en charge de l’évolution du programme. Cette vulnérabilité immédiatement baptisée Heartbleed (coeur saignant) ou CVE-2014-0160 pour les spécialistes, permettait potentiellement à des pirates informatiques de récupérer des informations leur permettant ensuite de commettre des achats sur le compte des internautes auxquelles elles appartenaient.
UNE BONNE RÉACTIVITÉ
OpenSSL est une boîte à outils de chiffrement qui comporte deux bibliothèques. La première – libcrypto – fournit les algorithmes cryptographiques tandis que la seconde – libssl – implémente le protocole de sécurité SSL/TSL et une interface en ligne de commande (openssl) permettant de choisir entre de nombreux types de chiffrement. La vulnérabilité découverte affecte la bibliothèque qui délivre les algorithmes de cryptographie. Selon le site dédié www.heartbleed.com, elle permet de lire dans la mémoire des systèmes utilisant les versions affectées du protocole SSL/TSL ce qui compromet la confidentialité des clés utilisées pour identifier le fournisseur du service et pour crypter la transmission des données. Des spécialistes affirment qu’ils ont procédé à des attaques sans utiliser aucune information privilégiée et qu’ils ont réussi à dérober des données sans laisser aucune trace de leur passage dans les serveurs. La vulnérabilité persiste tant que la version du logiciel n’a pas été mise à jour. Découverte le 7 avril par un membre de Google Security, Neel Mehta, la faille a été réparée par un correctif publié dès le mardi 8 avril ce qui ne veut pas dire que tous les responsables de sites web ont instantanément mis leurs serveurs à jour. Dans le cadre d’une solution infogérée par un hébergeur expert, c’est au fournisseur de services de maintenir et de mettre à jour le système. Ainsi, à titre d’exemple, Peer 1 Hosting indique que l’alerte a été immédiatement envoyée par ses partenaires Red Hat (éditeur de la distribution Linux utilisée par l’hébergeur) et Geotrust (son éditeur de certicficats SSL/TSL) et que les ingénieurs de Peer 1 ont procédé sans tarder au déploiement de la dernière mise à jour.
Dans son alerte intitulée « TLS heartbeat read overrun (CVE-2014-0160) », l’ OpenSSL Security Advisory indiquait « A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server. Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including 1.0.1f and 1.0.2-beta1. Thanks for Neel Mehta of Google Security for discovering this bug and to Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for preparing the fix. Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS. 1.0.2 will be fixed in 1.0.2-beta2.