BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Heartbleed, Vulnérabilité Majeure d'OpenSSL

Heartbleed, Vulnérabilité Majeure d'OpenSSL

Favoris

 

Une vulnérabilité majeure a été découverte et publiée le 7 avril 2014 dans la populaire librairie cryptographique OpenSSL.

Massivement utilisée sur Internet (par exemple par les serveurs Web Apache et Nginx, qui représentent près de 66% du marché des serveurs Web), la librairie implémente les protocoles d'échanges sécurisés SSL/TLS.

 

La vulnérabilité en détails

Baptisée Heartbleed ("Coeur qui saigne"), la vulnérabilité CVE-2014-0160 exploite un bug dans l'implémentation du protocole d'heartbeat ("Battement de coeur") de la branche 1.0.1, active depuis maintenant deux ans (mars 2012). Les versions 1.0.1 à 1.0.1f (incluse) sont concernées, et une versions 1.0.1g patchée est sortie pour corriger le problème. Les versions 1.0.0 et 0.98 d'OpenSSL ne sont PAS concernées.

L'attaquant exploitant Heartbleed est capable de récupérer des buffers mémoires de 64Ko, mais peut répéter l'attaque ad infinitum, sans laisser de traces identifiables dans les logs (bien qu'un système de détection d'intrusions puisse être entraîné à reconnaître des requêtes sur le protocole d'heartbeat).

Les informations pouvant fuiter sont par ordre de criticité :

  • les clés secrètes des certificats X.509
  • les informations de connexion clients (login et mot de passe)
  • puis toute autre information/donnée collatérale pouvant être trouvée dans le buffer OpenSSL de 64Ko ouvert par la vulnérabilité

 

Mitigation et actions correctives

Les étapes conseillées pour prévenir de cette vulnérabilité sont :

  • mettre à jour OpenSSL en version 1.0.1g (si ce n'est pas possible, recompiler la librairie avec la directive -DOPENSSL_NO_HEARTBEATS)
  • faire révoquer vos certificats auprès de l'autorité de certification qui vous concerne (y compris en tant que client d'un PaaS, vous seuls pouvez agir sur votre certificat)
  • faire générer et mettre en place de nouveaux certificats

Certaines sociétés dans le domaine du Cloud (des PaaS comme CloudBees ou Clever-Cloud par exemple) ont été très réactives et ont déjà migré vers la nouvelle version d'OpenSSL. Cependant, il reste à la charge des équipes de chaque application d'effectuer les étapes liées aux certificats (ceux-ci pouvant avoir été ciblés par une attaque au cours des deux dernières années). D'autres services dans le Cloud, tels qu'Amazon Elastic Load Balancing, restent vulnérables à l'heure de la rédaction de cet article.

 

Plus d'infos

Un site dédié à la vulnérabilité a été mis en place pour plus d'informations. Il existe aussi un site permettant de tester la vulnérabilité à Heartbleed d'un domaine fourni sur filippo.io/Heartbleed.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT