Heartbleed : Des erreurs dans l'application des certificats et des correctifs

La précipitation de certains à vouloir se protéger au plus vite contre la faille Heartbleed a conduit à des erreurs. Par exemple, certaines rééditions de certificats SSL ont repris la même clé vulnérable que celle qu'elle était censée remplacer. Parfois, certains sites ont migré leurs serveurs vers une version d'OpenSSL non corrigée.

Malgré les mesures rapides prises par certains sites pour se défendre contre l'attaque Heartbleed, certains ne s'en trouvent pas mieux protégés qu'avant, et parfois, ils sont même plus exposés. Après avoir corrigé leur version d'OpenSSL après l'attaque Heartbleed révélée le 7 avril dernier, de nombreux sites ont aussi entrepris de révoquer les certificats SSL compromis en les remplaçant par de nouveaux certificats. Mais, selon une étude réalisée par l'entreprise de services Internet Netcraft publiée vendredi, 30 000 sites ont reçu des certificats de remplacement basés sur la même clef privée compromise que les anciens. Cela signifie que toute personne qui a réussi à voler la clef privée d'un de ces serveurs avant qu'il ne soit corrigé peut toujours utiliser la clef pour tromper le serveur en menant une attaque de type « man-in-the-middle ». « Cette erreur dans les certificats est très dangereuse, parce que les opérateurs qui ont corrigé la version OpenSSL sur leurs serveurs et qui ont remplacé leurs certificats peuvent penser qu'ils ont pris toutes les mesures nécessaires pour protéger leurs utilisateurs », a prévenu Netcraft.

« À ce jour, près de 57 % des sites vulnérables à l'attaque Heartbleed n'ont ni révoqué, ni réédité leurs certificats SSL », a jouté Netcraft. 21 % ont réédité leurs certificats, mais n'ont pas révoqué les certificats compromis. « Les 30 000 sites qui ont révoqué leurs certificats et qui en ont réédité de nouveaux avec la même clef privée représentent environ 5 % des sites vulnérables », toujours selon Netcraft. 2 % utilisent la même clé privée et doivent encore révoquer leurs anciens certificats. Mais, au moins, selon Netcraft, « ces sites ne sont pas plus exposés que le jour où l'attaque Heartbleed a été révélée ».

Par contre, ce n'est pas le cas des quelque 20 % de serveurs rendus vulnérables et qui ne l'étaient pas quand l'attaque a été révélée : selon une étude réalisée par le développeur de logiciels Yngve Nysæter Pettersen, il semble que certains opérateurs ont remplacé des versions sûres d'OpenSSL par des versions non corrigées. « Il est possible que le battage médiatique autour d'OpenSSL a conduit certains administrateurs à croire que leur système n'était pas sécurisé ». Plus la pression administrative et la nécessité « de ne pas rester sans rien faire », les aurait pousser « à déclencher la mise à niveau d'un serveur non affecté avec une nouvelle version non corrigée du système, probablement parce que la variante n'avait pas encore été officiellement patchée », a-t-il suggéré. Nysæter Pettersen a démarré son scan le 11 avril : au cours des deux semaines qui ont suivi, près de la moitié des serveurs vulnérables avaient été corrigés. Globalement, le nombre de serveurs tournant avec une version vulnérable d'OpenSSL a baissé de 5,36 % à 2,77 %. Cependant, l'application de correctif sur les serveurs vulnérables a presque complètement cessé. « Mercredi dernier, 2,33 % des serveurs n'avaient toujours pas été corrigés », a-t-il encore ajouté.