Pour gérer vos consentements :
Categories: Cloud

Heartbleed : la faille OpenSSL qui agite la Toile

Utilisée par de nombreux sites Web pour implémenter les protocoles de chiffrement SSL (« Secure Sockets Layer ») et TLS (« Transport Layer Security ») destinés à sécuriser les échanges de données entre client et serveur, la bibliothèque logicielle OpenSSL a été mise à jour en urgence.

La version 1.0.1g, diffusée depuis lundi soir, corrige la faille critique CVE-2014-0160, découverte par les experts en sécurité de Google et de Codenomicon Defensics – un éditeur d’origine finlandaise basé dans la Silicon Valley. Cette vulnérabilité est baptisée Heartbleed en référence à l’extension OpenSSL qu’elle affecte : Heartbeats, qui lance régulièrement, côté client, des requêtes pour vérifier que la connexion avec un serveur est encore active (sur le modèle du ping).

Alors qu’un simple indicateur de présence est attendu en réponse, jusqu’à 64 kilo-octets de données peuvent être transmis… en clair. Identifiants, mots de passe, numéros de cartes bancaires, clés de cryptage d’un site Web : autant d’informations qu’un tiers peut intercepter sans laisser aucune trace. L’utilisateur ne peut rien soupçonner : à ses yeux, la transaction est chiffrée, une clé ou un cadenas fermé s’affichant dans la barre inférieure et/ou dans le champ URL de son navigateur Internet.

Selon Netcraft, les deux tiers de sites Web « actifs » sont hébergés sur des serveurs Web exploitant OpenSSL, notamment sous Apache et nginx. La faille Heartbleed toucherait d’autant plus de sites qu’elle serait active depuis décembre 2011. Elle n’affecte cependant pas les versions d’OpenSSL antérieures à la 1.0.1, déployée en mars 2012. En outre, seuls 17,5% des sites exploitant SSL ont activé l’extension Heartbeat. Enfin, certains groupes Internet avertis en amont avaient déjà pris les mesures nécessaires. C’est le cas de Facebook, de Google, d’Amazon ou encore de Microsoft, mais vraisemblablement pas de Yahoo. Les aiguilleurs de trafic (Akamai, CloudFlare…) et les hébergeurs ont également fait preuve de réactivité, certains mettant à jour l’ensemble de leur infrastructure.

Sur le site dédié heartbleed.com figure une liste non exhaustive des distributions touchées : Debian Wheezy (stable), Fedora 18, Ubuntu 12.04.4 LTS, CentOS 6.5, OpenSUSE 12.2, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, etc. Les administrateurs Web sont invités à mettre leurs serveurs à jour. Pour ceux qui n’en ont pas la possibilité, il faudra recompiler OpenSSL en ajoutant l’option -DOPENSSL_NO_HEARTBEATS. Autre nécessité : générer de nouveaux certificats, car ceux-ci peuvent être aspirés via la faille Heartbleed (aussi bien les clés privées que secondaires). C’est crucial pour les fournisseurs de services de messagerie électronique, les réseaux sociaux et les banques en ligne.

PCInpact note l’existence d’un mini-site destiné à vérifier si une URL est vulnérable. Lié à un dépôt GitHub, ce projet open source génère encore de nombreux faux positifs… ou plutôt des erreurs de connexion. Face à l’ampleur potentielle des dégâts, certains sites ont fermé temporairement. En France, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR, adossé à l’ANSSI) a émis un bulletin d’alerte.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous le langage high-tech ?

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago