Un groupe de cinq pirates affirme sur Pastebin avoir travaillé pendant deux semaines pour trouver le bogue et pour développer le code permettant d'exploiter une nouvelle vulnérabilité d'OpenSSL. Ils vendent leur exploit 2,5 bitcoins, l'équivalent de 870 dollars environ. La présence d'une nouvelle faille dans OpenSSL pourrait constituer une menace aussi sérieuse que Heartbleed. Mais la revendication des pirates a été accueillie avec suspicion sur le forum de discussion Full Disclosure, où sont débattus les rapports de vulnérabilité. Un commentateur, Todd Bennett, estime que la façon dont ils décrivent techniquement la faille est « assez extravagante ».
Le code Open Source OpenSSL est utilisé par des millions de sites Web pour crypter et sécuriser les communications entre ordinateurs clients et serveurs. La faille décrite début avril, surnommée « Heartbleed », peut permettre à des attaquants de récupérer les informations de connexion ou la clé SSL privée du serveur. Selon McAfee, « à ce jour, plus des deux tiers des sites touchés par la faille ont patché leur version d'OpenSSL ».
Débordement de la mémoire tampon
Les pirates prétendent avoir trouvé une vulnérabilité provoquant un débordement de la mémoire tampon, similaire à Heartbleed. Selon eux, il y a un défaut de vérification de boucle dans le traitement de la variable « DOPENSSL_NO_HEARTBEATS ». « Nous pourrions parvenir à déborder le « DOPENSSL_NO_HEARTBEATS » et récupérer à nouveau des bouts de données de 64 ko dans la version mise à jour », disent-ils. Étant donné qu'ils n'ont pas publié leur code d'exploitation, il n'y a aucun moyen de vérifier ce qu'ils affirment. Le groupe a communiqué une adresse e-mail pour recevoir des questions éventuelles, mais il n'a pas immédiatement répondu à une demande envoyée par nos confrères d'IDG News Service.
Une recherche sur Google indique que la même adresse mail a été utilisée dans d'autres ventes de code sur Pastebin. Au mois de mars, cette adresse a été utilisée dans une annonce proposant des données en provenance de la plateforme d'échange de bitcoins Mt Gox basée à Tokyo qui a déposé le bilan après un piratage. La même publicité annonce proposait également des informations provenant de sites qui revendent des données de cartes de crédit volées, et des données d'une autre plateforme d'échange de monnaie virtuelle CryptoAve, également attaquée par des pirates. Souvent, des cybercriminels essayent de se faire de l'argent en prétendant qu'ils détiennent des données susceptibles d'intéresser la communauté des hackers.
Des fonds enfin levés pour assurer le développement d' OpenSSL
Depuis la découverte de la faille Heartbleed, les développeurs se sont mobilisés pour renforcer la sécurité des produits Open Source les plus populaires. Le projet OpenSSL, par exemple, ne disposait que d'une personne à plein temps et recevait 2 000 dollars de dons pour son fonctionnement annuel malgré le rôle capital de ce code dans la protection des communications Internet. Jeudi dernier, un groupe d'entreprises et d'institutions ont lancé le projet Core Infrastructure Initiative pour lever des fonds pour rémunérer les développeurs qui travaillent à temps plein sur d'importants produits Open Source. Dans le groupe, on trouve notamment Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware et la Fondation Linux.
Nouvelle faille OpenSSL ? Un canular selon les experts
2
Réactions
Des pirates prétendent avoir trouvé une nouvelle vulnérabilité dans la bibliothèque OpenSSL corrigée début avril et ils vendent leur information 2,5 bitcoins. Mais les experts en sécurité sont très dubitatifs.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
2 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Tout à fait MrEddy. Je ne vais pas faire comme beaucoup de commentaire que j'ai lu à ce sujet ... (pointant du doigt un développeur Allemand ...) Quand sa marche personne pour dire merci, mais quand sa merde, faut pointer quelqu'un ... Lamentable. Sauf que là il se sont appercus que le mec était plus ou moins seul sur un projet de cet importance... Je fais un gros gros clin d'oeil à ce monsieur qui donne autant de son temps gratuitement (pour 2000 par an ... autant dire 0). Une belle preuve de sa volonté. Je suis avec toi mec ;)
Signaler un abusBonsang. 2000 $ par ans pour maintenir le code de la plateforme de sécurité la plus utilisée... Il ne faut peut être pas plus qu un seul homme sachant ce qu il fait pour maintenir openssl. Trop d'argent n'aurait pas de sens. MAis quant meme. Les grands acteur de l'informatique absent d'une tel entreprise , ca fait quant meme désordre.
Signaler un abus