Le 7 avril 2014, OpenSSL a informé de la vulnérabilité appelée Heartbleed (‘hémorragie du coeur’). La nouvelle a fait du bruit dans le milieu de la technologie. La vulnérabilité dans le logiciel d'OpenSSL a été découverte par Neel Mehta ; on a demandé à Bodo Moeller et Adam Langley de la corriger.
Le bogue appelé Heartbleed est une vulnérabilité trouvée dans quelques versions des bibliothèques de chiffrement du logiciel OpenSSL. Ces bibliothèques gèrent la sécurité des plus grands sites Web. En résumé, une vulnérabilité trouvée dans n'importe quelle partie du logiciel (l'extension « heartbeat », qui permet une connexion sécurisée au serveur qui héberge des sites Web, a été souvent mentionnée) permet aux pirates de lire et d'amasser des données qui sont stockées dans les mémoires de ces systèmes. Cette faille a le potentiel d'être une des plus grandes vulnérabilités à expansion rapide dans l'histoire moderne de l'Internet. La vulnérabilité est présente dans les versions de 1.0.1 à 1.0.1f d'OpenSSL (mais pas dans d'autres versions d'OpenSSL).
Sur le site Web ‘Schneier on security’ (Schneier sur la sécurité), Bruce Schneier dit :
Catastrófico es la palabra correcta. En una escala de 1 al 10, esto es un 11.
‘Catastrophique’ est le terme exact. Sur l'échelle de 1 à 10, c'est 11.
De même, Matthew Green écrit dans son blog :
Le problème est assez simple : il y a une toute petite vulnérabilité – un simple manque de vérification de limites – dans le code qui gère les messages ‘heartbeat’ de TLS. En abusant de ce mécanisme, un pirate peut demander qu'un serveur qui exécute TLS lui donne accès à une partie relativement grande (jusqu'à 64KB) de son espace mémoire privé.
À la racine de HeartBleed, il y a le cryptage de données. Par analogie, le cryptage est comme une langue secrète entre deux personnes. Internet fonctionne en utilisant certains protocoles de sécurité et le cryptage communément appelé Transport Layer Security (TLS) (‘couche transport sécurisée’), connu auparavant sous le nom de Secure Sockets Layer (SSL) (‘couche de sockets sécurisée’ ). SSL et TLS sont un ensemble d'outils de code-source libre connus sous le nom de SSL ouvert. Il est aussi connu comme Open SSL et fonctionne sur 66% du réseau comme le protocole de cryptage pour protéger l'information des internautes contre un abus.
Quelle est la vulnérabilité ?
Le mécanisme de TLS appelé ‘Heartbeat’ est conçu pour maintenir les connexions persistantes même s’il n’y a aucune transmission de données. Les messages qu'une des machines envoie périodiquement contiennent des données aléatoires et une charge utile des données. On s'attend à ce que l'autre machine réponde avec un miroir des mêmes données exactes.
Alors, que se passe-t-il si Open SSL est défectueux ? Ces clés secrètes partagées avec le serveur deviennent tout à coup accessibles à n'importe qui. Cela signifie qu'il y a beaucoup d'information disponible à n'importe qui et les utilisateurs ne sauront probablement jamais qui d'autre a accès à l'information.
Le pire est que cette vulnérabilité existe depuis décembre 2011, et beaucoup de progiciels ont commencé à utiliser la version vulnérable d'Open SSL après le 8 mai 2012. Cela signifie que pendant deux ans tout site Web, toute application, toute banque ou tout service de messagerie instantanée qui utilisait les protocoles de sécurité SSL était vulnérable.
La correction de cette faille est techniquement compliquée et il ne suffit pas que les professionnels en technologie de l'information appliquent un correctif sur des copies d’Open SSL utilisées par leurs dispositifs, applications ou sites Web.
Pour ne pas devenir une victime de cette vulnérabilité dans les protocoles de cryptage utilisés sur Internet, il faut d'abord vérifier si les fournisseurs ont mis à jour le correctif de Heartbleed. Ensuite le mot de passe doit être changé.
Rester vigilant [les liens Twitter sont en espagnol]
Google Dork para encontrar Juniper SSL VPNs vulnerables a #HeartBleed: El corazón de Internet sigue sangrando…. http://t.co/eczbWdnqon
— hackplayers (@hackplayers) abril 21, 2014
Google Dork pour trouver Juniper SSL VPNs vulnérables à # #HeartBleed: : Le coeur d'Internet continue à saigner….
#Heartbleed sí que puso a temblar a los database managers de todo el mundo y a nosotros a cambiar passwords. La vulnerabilidad es universal
— Clicerio MP (@ClicerioMP) abril 21, 2014
#Heartbleed a fait trembler les gestionnaires de bases de données à travers le monde et nous a fait changer des mots de passe. La vulnérabilité est universelle.
— Clicerio MP (@ClicerioMP) Le 21avril 2014
[Infografía] #Heartbleed en resúmen… nota interesante sobre la ley de protección de datos… pic.twitter.com/aMMfMqd16I
— Juan Carlos Vázquez (@jc_vazquez) abril 21, 2014
[Infographie] #Heartbleed en résumé… une note intéressante sur la loi de la protection des données.
#Heartbleed amenaza tu privacidad, ¡cambia tus contraseñas!: http://t.co/3wB85d4AX5
— AMIPCI (@AMIPCI) abril 21, 2014
#Heartbleed menace votre vie privée, changez vos mots de passe !
Mashable présente une liste de sites Web qui sont exposés à la vulnérabilité de Heartbleed et pour lesquels il est conseillé de changer ses mots de passe.