Sécurité IT : un Heartbleed peut en cacher un autre

Le 7 avril dernier, une mise à jour de la bibliothèque OpenSSL (version 1.0.1g) était déployée en urgence après la découverte de la faille critique Heartbleed, permettant l’interception de données confidentielles communiquées à des sites Web.

Trois semaines plus tard, l’efficacité du correctif est remise en cause par un groupe de pirates qui dit y avoir décelé une nouvelle vulnérabilité. Sur la plate-forme Pastebin, les cinq membres de ce collectif expliquent avoir codé « jour et nuit pendant deux semaines » pour découvrir cet exploit… qu’ils commercialisent aujourd’hui pour 2,5 Bitcoins, soit environ 786 euros. Et d’ajouter : « Cette faille ne sera pas rendue publique. Nous avons codé le script en python [et] nous utiliserons notre propre pour un long moment avant que cela soit corrigé ».

Selon eux, le problème est « lié à la variable DOPENSSL_NO_HEARTBEATS », dont dépend l’extension OpenSSL Heartbeats. Celle-ci lance régulièrement, côté client, des requêtes pour vérifier si la connexion avec un serveur est encore active. Alors qu’un simple indicateur de présence est attendu en réponse, des blocs de 64 kilo-octets de données peuvent être transmis en clair : identifiants et mots de passe, numéros de cartes bancaires, clés de cryptage, etc. Il serait également possible de falsifier les certificats numériques pour détourner les utilisateurs vers des sites malveillants ou encore corrompre les réseaux VPN des entreprises.

Les chercheurs en sécurité informatique restent dubitatifs, à l’image de nombreux contributeurs au fil de discussion ouvert sur Seclist.org. Pour Jann Horn, « DOPENSSL_NO_HEARTBEATS n’est pas une variable, [mais] une macro de compilation qui configure si Heartbeats sera compilé ou non. Et parce que c’est un compilateur, un attaquant ne peut pas s’en servir ». Todd Bennett ajoute que le contournement de la variable par débordement de mémoire tampon « est une revendication assez surprenante [vu qu’elle] est dans le préprocesseur C ».

Les pirates n’ont publié ni code d’exploitation, ni démonstration de la faisabilité de l’attaque. En outre, l’adresse mail à laquelle ils renvoient a été utilisée en mars dernier pour vendre des bases de données des plates-formes transactionnelles MtGox et CryptoAve. Une publicité qui laisse peu de doute quant à l’illégalité de la démarche. Si celle-ci devait se révéler vraie, les conséquences de son exploitation pourraient se révéler désastreuses en regard de l’usage massif de la librairie open source OpenSSL au sein des serveurs Web et produits réseau chez Cisco et Juniper, notamment.

Pour y faire face, la Fondation Linux a lancé, comme le note Silicon.fr, le projet Core Infrastructure Initiative, qui vise à organiser le financement des développements ds logiciels open source critiques pour en améliorer leur qualité en matière de sécurité. Une initiative rejointe par les grands noms de l’industrie : Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace et VMware.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?