Heartbleed : quel impact sur la sécurité d’Open SSL ?
L’actualité sécurité de ces derniers jours a été marquée par Heartbleed, une faille sérieuse dans le logiciel Open SSL, en charge de crypter le trafic sur internet.
OpenSSL est un logiciel open source utilisé par les sites internet incluant, Google, Gmail, Facebook, Yahoo et bien d’autres encore, pour crypter toutes nos données. Le bug Heartbleed, récemment découvert par 2 chercheurs, est une porte grande ouverte à des attaques de données, stockées sur des serveurs vulnérables.
Nous avons aussi découvert que la faille Heartbleed se trouve déjà dans une version patchée du logiciel OpenSSL datant d’il y a 2 ans. Cette vulnérabilité a très bien pu être utilisée depuis longtemps par n’importe qui, avec les moyens et les ressources adaptés pour l’exploiter.
Les experts en sécurité de Sophos nous ont aidés à comprendre Heartbleed, de quoi il s’agissait, comment se protéger, et pourquoi nous devions être reconnaissants vis-à-vis des logiciels open source, même s’ils ne sont pas parfaits !
[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]Note pour les clients Sophos : Pour obtenir les informations les plus récentes sur l’impact d’Heartbleed sur nos produits, merci de lire l’article consacré sur notre site.[/vc_message][/vc_column][/vc_row]
Internet a perdu son Heartbeat
Chester Wisniewski, Consultant Senior en sécurité chez Sophos, nous dit tout sur la faille Heartbleed et pourquoi elle est si importante pour la sécurité sur internet.
Chet explique qu’Open SSL envoie de petits paquets de données, appelés TLS Heartbeat, entre les serveurs pour s’assurer que la connexion est toujours active.
Il apparait seulement aujourd’hui, que ces serveurs peuvent être trompés et envoyer des données stockées, en réponse à ces pings Heartbeat. Ces données peuvent inclure des mots de passe et des clés d’encodage.
Dans un article publié sur CNN.com, Chet explique comment deux tiers de tous les sites internet sont vulnérables vis-à-vis de cette faille Heartbleed.
Heureusement, les services internet les plus importants ont déjà remédié à ce bug au niveau de leurs serveurs et services associés. La mauvaise nouvelle est que les sites internet de plus petites tailles, ainsi que les produits d’entreprises utilisant l’OpenSSL, risquent de rester de nombreuses années sans solution.
Chet a déclaré à BuzzFeed, que l’inquiétude majeure portait plutôt sur ceux qui étaient au courant de cette faille, avant tout les autres. La NSA se trouve être l’organisation qui a les moyens, et un intérêt certain à détecter ce genre de vulnérabilité.
« C’est exactement ce que certains programmes de la NSA sont censés faire : trouver la faille, l’exploiter sans jamais rien dire à personne » déclare Chet.
Selon Chet, la partie «open» d’OpenSSL signifie que ce logiciel, vital pour la sécurité, est entretenu par des programmeurs volontaires, sans but commercial.
Nous devrions donc nous concentrer et aider toutes ces parties « open », dont nous dépendons au sein d’internet, pour conserver notre liberté de communication.
La plupart d’entre nous comptons sur internet d’un point de vue social, politique et économique. Les milliards de dollars générés chaque année par les géants du web n’existeraient tout simplement pas, sans ces millions de volontaires travaillant des heures et des heures pour entretenir ces logiciels gratuits et opens comme Open SSL, Linux, Apache Web server, et Postfix mail server.
Chet, Consultant Sécurité chez Sophos, chat#142 : Heartbleed expliqué, les patches évalués et Apple puni !
Aller plus loin au sujet de heartbleed OpenSSL
Paul Ducklin, anayste senior en sécurité chez Sophos et auteur pour Naked Security, dévoile dans son excellente investigation sur le bug OpenSSL Heartbleed, ses techniques en tant qu’expert en cryptage.
Vous pouvez lire tous ces articles pour plus d’informations concernant cette faille et comment la déjouer :
- “Heartbleed” — Would 2FA have helped?
- Anatomy of a data leakage bug – the OpenSSL “heartbleed” buffer overflow
- “Heartbleed heartache” – should you REALLY change all your passwords right away?
- Sending a “Heartbleed” password reset email? Please don’t include a login link!
La minute Sécurité : Heartbleed, GooglePlay et XP
Paul Ducklin parcours l’actualité de la semaine en 1 minute, en incluant un résumé sur Heartbleed, une escroquerie sur Google Play et le dernier patch sécurité de XP.
Rester informé, grâce au blog Sophos France
Vous pouvez obtenir toutes les dernières actualités sécurité sur notre blog, avec nos Podcasts et notre Télé Sophos France : http://www.sophosfranceblog.fr/.
Abonnez-vous à la newsletter en cliquant sur newsletter sécurité et en remplissant le formulaire avec votre email.
Suivez nous sur les réseaux sociaux : Facebook, Twitter, Google+, YouTube, RSS, LinkedIn et Foursquare.
Billet inspiré de : “Sophos news in review: OpenSSL Heartbleed, what is it and what does it mean for security ?” par John Zorabedian de Naked Security.
Partagez “Heartbleed : quel impact sur la sécurité d’Open SSL ?” avec http://bit.ly/1j26Z1g
Heartbleed : quel impact sur la sécurit&...
[…] Le bug Hearbleed est une faille du logiciel Open SSL, en charge du cryptage de nos données sur internet, qui représente un risque majeur pour la sécurité. […]
La sécurité Linux : 4 idées fausses !
[…] qu’en est-il, vis à vis de vulnérabilités tels que Heartbleed, ou encore Shellshock, ou bien n’importe quelle autre vulnérabilité de votre choix ? Au final, […]
Votre serveur web est en danger avec HTTPoxy, attention !
[…] BWAIN est un acronyme, quelque peu cynique, pour désigner un « Bug With An Impressive Name », à savoir une nouvelle tendance qui est apparue il y a de cela 2 ans environ, avec le bien connu Heartbleed. […]