Sécurité IT : escroquerie à la faille Heartbleed

Cloud
heartbleed-escroquerie

Des pirates vendent actuellement un kit destiné à exploiter une soi-disant nouvelle faille Heartbleed affectant la version patchée (1.0.1g) de la bibliothèque OpenSSL. Une arnaque, selon les experts en sécurité.

Le doute n’est pas permis pour les experts en sécurité : « l’autre faille Heartbleed » – en l’occurrence, celle qu’un collectif de pirates dit avoir découverte la semaine passée – est une arnaque pure et simple.

Les cinq membres de ce groupe baptisé BitWasp expliquent avoir codé « jour et nuit pendant deux semaines » jusqu’à découvrir ce soi-disant exploit… aujourd’hui monnayé pour 2,5 Bitcoins (soit environ 798 euros au 30 avril 2014).

Pour mieux saisir le voile d’incertitude qui règne autour de cette probable escroquerie, il faut remonter au 7 avril dernier. A cette date, une mise à jour de la bibliothèque OpenSSL (version 1.0.1g) était déployée en urgence après la découverte de la vulnérabilité critique Heartbleed, permettant l’interception de données confidentielles communiquées à des sites Web.

Le problème était lié à l’une des extensions du protocole de chiffrement. En l’occurrence, celle qui lance régulièrement, côté client, des requêtes pour vérifier si la connexion avec un serveur est encore active. Alors qu’un simple indicateur de présence était attendu en réponse, des blocs de 64 ko de données pouvaient être transmis en clair : identifiants et mots de passe, numéros de cartes bancaires, clés de cryptage, etc. Il était également possible de falsifier les certificats numériques pour détourner les utilisateurs vers des sites malveillants ou encore corrompre les réseaux VPN des entreprises.

Cette brèche a été corrigée le jour de son annonce publique. Depuis, entreprises et acteurs concernés s’attachent à combler les trous et à renforcer la sécurité des futures versions. D’autant que la NSA, qui connaissait l’existence de Heartbleed depuis au moins deux ans, a certainement exploité la vulnérabilité.

Le collectif BitWasp a remis en doute l’efficacité du correctif, sans toutefois publier ni code d’exploitation, ni démonstration de faisabilité d’une attaque. Le dénommé Ivan Kwiatowski, qui se présente comme un expert en sécurité, est entré en contact avec eux pour leur demander davantage de précisions. Le résultat ne s’est pas fait attendre : selon lui, les données chiffrées susceptibles d’avoir été recupérées et qui lui ont été renvoyées ont « de toute évidence […] été fabriquées de toutes pièces« .

Au-delà de cette démonstration, l’attitude du groupe de pirates est, dans tous les cas, des plus suspectes aux yeux de Laurent Heslault.
Le directeur technique de Symantec s’explique : « On ne poste pas [l’offre de vente d’un exploit] sur une plate-forme ouverte comme Pastebin, mais sur le darkweb, avec une mise en contact en IRC et non par une adresse e-mail« . Il fait par ailleurs remarquer que les 2,5 Bitcoins réclamés en compsensation représentent un montant « ridiculement bas » : une telle faille se négocie généralement à plusieurs centanes de milliers d’euros.

Pour lui, et à titre personnel (et non pas celui de Symantec), c’est une arnaque. « On s’y attend depuis le début. Il y a toujours des petits malins qui tentent de profiter d’un phénomène médiatique et sautent sur l’occasion pour infecter des machines avec des attaques plus traditionnelles. » A commencer par la récente vulnérabilité Internet Explorer, « plus facile à exploiter [que Heartbleed], plus payante et pas corrigée« . Sans oublier, comme le note Silicon.fr, les 23 failles zero-day de 2013, dont 97% de celles qui ont été exploitées concernaient la plate-forme Java, selon l’Internet Security Threat Report 2014 de l’éditeur de sécurité.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous le logiciel libre ?

Lire aussi :