Faille Heartbleed : toujours plus de 300 000 serveurs vulnérables

Près de 310 000 serveurs exploitent encore une version d’OpenSSL exposée à la faille Heartbleed deux mois et demi après sa découverte.

Tel est le constat établi par Robert Graham. A fréquence mensuelle, ce chercheur en sécurité – CEO d’Errata Security – procède à une analyse globale portant sur des millions de serveurs hébergeant des sites accessibles au public. S’appuyant uniquement sur des connexions au port 443 (utilisé pour les communications TLS/SSL), il reste prudent sur ses estimations en indiquant qu’il existe d’autres tests… et qu’il peut donc y avoir davantage de serveurs vulnérables.

Ses indicateurs suffisent toutefois à refléter l’état actuel du déploiement des correctifs pour la faille Heartbleed : en un peu plus de cinq semaines, à peine 9000 serveurs ont été mis à jour, alors que plus de 300 000 l’avaient été entre le 9 avril (date de publication de la version patchée d’OpenSSL) et la mi-mai.

Si les principaux groupes Internet (Amazon, Facebook, Google, Microsoft…), les équipementiers réseau (Cisco, Juniper…) les grands hébergeurs (Akamai, CloudFlare…) et les fournisseurs de solutions (notamment de VPN d’entreprise) ont pris les mesures nécessaires, c’est bien du côté des plus petits éditeurs que la mobilisation faiblit.

A l’heure actuelle, il reste difficile de déterminer combien de sites Web sont réellement exposés à la vulnérabilité. Et pour cause : ne sont concernés que ceux qui ont activé l’extension Heartbeat. Celle-ci lance régulièrement, côté client, des requêtes pour vérifier si la connexion avec un serveur est encore active. Mais alors qu’un simple indicateur de présence est attendu en réponse, des blocs de 64 kilo-octets de données peuvent être transmis en clair : identifiants et mots de passe, informations bancaires… ou encore clés de cryptage permettant de déchiffrer du trafic SSL. Les versions 1.0.1 à 1.0.1f d’OpenSSL sont concernées.

Selon Robert Graham, le nombre de serveurs exposés à Heartbleed va décroître progressivement grâce au remplacement « naturel » d’anciens systèmes par de nouveaux déjà protégés. Mais il restera encore « des milliers de serveurs vulnérables dans 10 ans ». Ses mesures sont à mettre en parallèle de celles réalisées par Ivan Ristic dans le cadre du projet SSL Pulse : alors que que 30% des 155 000 sites Web les plus visités au monde étaient potentiellement exposés en avril, ils n’étaient plus que 1291 en mai (soit 0,8%), mais sont encore 1044 en juin.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les fonctionnalités des antivirus version 2013 ?

Crédit photo : Maksim Kabakou – Shutterstock.com