Plusieurs spécialistes de la sécurité ont alerté les administrateurs des sites web afin qu'ils corrigent une faille importante dans OpenSSL. Cette vulnérabilité est surnommée « Heartbleed » et se trouve dans plusieurs versions d'OpenSSL, une bibbliothèque Open Source de chiffrement pour communiquer en SSL (Secure Socket Layer) ou TLS (Transport Security Layer). La plupart des sites utilise ce système de chiffrement caractérisé par la présence dans les navigateurs du symbole du cadenas. La faille a été découverte en décembre 2011, mais elle vient d'être corrigée par la version 1.0.1g d'OpenSSL publiée hier. Selon un site spécialement mis en place pour ce problème, les versions touchées vont de la 1.0.1 à 1.0.1f sauf deux exceptions, 1.0.0 branch et 0.9.8.
Si elle exploitée, cette faille ouvre la possibilité à un attaquant de surveiller toutes les informations émises entre un utilisateur et un service web ou encore de déchiffrer le trafic collecté. « Cela permet aux pirates d'espionner les communications, de voler des données directement depuis les sites ou chez les utilisateurs », souligne les chercheurs. La vulnérabilité a été découverte par trois ingénieurs de Codenicom, société spécialisée dans la sécurité, ainsi que Neel Mehta chercheur en sécurité chez Google.
Une faille touchant beaucoup de sites web
L'ampleur du problème est vaste, car de nombreux systèmes d'exploitation actuels sont soupçonnés d'intégrer une version compromise d'OpenSSL. Les chercheurs ont dressé une liste de ces OS : Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 et OpenSUSE 12.2. Les versions « oldstable » de Debian Squeeze et Linux Entreprise Server ne sont pas touchées. Le fait qu'OpenSSL soit vulnérable impacte deux des serveurs les plus largement utilisés sur le web, Apache et Nginx. Cette bibliothèque de code est également utilisée pour protéger les serveurs de messagerie, de chat et de VPN.
Le problème, estampillé CVE-2014-0160, relève de l'absence de vérification dans l'extension heartbeat de TLS, qui permet de visualiser en clair 64 ko de mémoire sur un serveur connecté. Les attaquants peuvent ainsi obtenir des clés privés pour chiffrer ce trafic et bien évidemment déchiffrer les communications passées. Les pirates peuvent accéder à seulement 64 ko de donnés mémoires sur une seule attaque, mais ils peuvent « tenter des reconnexions et essayer de garder une liaison TLS actif pour demander plusieurs séquences de 64 ko et ainsi accroître les chances d'obtenir des informations sensibles plus complètes. », expliquent les chercheurs. Les administrateurs sont donc invités à révoquer les clés et à en éditer des nouvelles, tout en appliquant la dernière version d'Open SSL
Des chercheurs alertent sur une faille critique dans OpenSSL
2
Réactions
Les experts en sécurité informatique conseillent aux administrateurs de corriger une faille critique dans OpenSSL, une librairie Open Source de protocoles de chiffrement qui est utilisé par un grand nombre de sites web.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Pour la sécurité de vos systèmes d'information, votre spécialiste
Signaler un abusYoupee ! Les admins GNU/Linux vont (enfin) avoir un peu de boulot !
Signaler un abus