Heartbleed : Faille critique pour OpenSSL, correctifs disponibles en urgence

1
98

Depuis 24 heures, Internet est en émoi à cause d’une nouvelle vulnérabilité critique d’OpenSSL qui a été découverte. Surnommée Heartbleed, on peut dire que la faille fait saigner le Web ! Le temps est au déploiement de correctif en urgence sur tous serveurs vulnérables.

C’est tout récent et on parle déjà d’un « un bug catastrophique » et « extrêmement dommageable » sur un fond de panique généralisé sur le Web à propos la faille de sécurité critique découverte dans la nuit du 7 au 8 avril, touchant la bibliothèque logicielle de chiffrement OpenSSL. Sa référence est CVE-2014-0160 et son surnom est « Heartbleed » et possède son propre site dédié. Un espace de test de vulnérabilité a été mis en place à cette adresse.

[vimeo 91425662 nolink]

Si elle est critique, elle n’impacte que les versions 1.0.1 et la bêta de la 1.0.2 d’OpenSSL. Assez important tout de même, la version stable 1.0.1 étant déjà largement déployée. La majorité des serveurs seraient touchés, soit environ 2 sur 3 !

Autre raison du sérieux de la faille : cela touche en conséquence l’implémentation des protocoles SSL et TLS, au coeur de la sécurité sur Internet. D’autant que Heartbleed a été publiée alors que beaucoup d’entreprises et d’éditeurs logiciels n’ont pas eu le temps de pousser une version corrigée d’OpenSSL sur les systèmes de leurs clients.

Que peuvent faire les attaquants ?

La faille permet de dérober les informations habituellement protégées par le chiffrement SSL/TLS utilisé pour sécuriser Internet. Pire, les clés de chiffrement utilisées par le site peuvent même être obtenues.

Cette technique est utilisée sur le web, dans les messageries, dans les messageries instantanées (IM) ainsi que dans certains réseaux privés virtuels (VPNs). La faille a été découverte par les chercheurs de codenomicon et des membres de l’équipe sécurité de Google.

Elle permet à quiconque de lire la mémoire des systèmes protégés par les versions vulnérables d’OpenSSL. Dès lors, il est possible de récolter tout le contenu y compris noms et mots de passes et ensuite dérober tout le contenu. En gros, la vulnérabilité référencée CVE-2014-0160 permet à des pirates d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Les données bancaires envoyées lors de transactions en ligne via des serveurs vulnérables peuvent donc être interceptées.

Les recommandations des experts sont extrêmes : ces derniers conseillent fortement de rester à l’écart d’Internet durant quelques jours et bien entendu, de ne plus effectuer de transaction en ligne durant cette période critique. Les sites proposant une connexion sécurisée chiffrée (avec un cadenas pour HTTPS) ne sont en effet plus fiables à 100% tant qu’il n’auront pas été patchés :

« Si vous avez besoin d’anonymat et de vie privée sur Internet, vous feriez mieux de rester loin du Net dans son ensemble pendant les prochains jours, le temps que les choses s’arrangent. »

Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas été concernés (ou qu’ils aient bouché la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, étaient vulnérables.

Correctif 1.0.1g disponible

La faille peut permettre de révéler le contenu d’un message sécurisé – une transaction par carte de crédit en HTTPS, au hasard – ainsi que les clés SSL primaire et secondaire elles-mêmes. Ce qui pourrait servir en théorie à passer outre la sécurité d’un serveur sans laisser de trace. Heartbleed serait le résultat d’une grossière erreur de programmation dans les dernières versions d’OpenSSL. Un correctif est  disponible dans une version 1.0.1g d’OpenSSL, et devrait apparaître pour la bêta de la 1.0.2.

Cela dit, la question des correctifs devrait être assez polémique dans les prochaines heures. Plusieurs éditeurs reprochent déjà à Cloudflare, spécialiste de la sécurité, d’avoir publié les détails de la faille dans un billet de blog alors qu’ils n’ont pas encore eu le temps de corriger le logiciel.

Notons que les deux principaux serveurs, à savoir Apache et nginx, utilisent OpenSSL. Les principaux acteurs d’Internet, Google, Yahoo, Facebook et autres, ont annoncé avoir déployé la version corrective dès sa disponibilité. Les mesures à prendre consistent à changer de mot de passe. Toutefois, il convient de le faire uniquement après que la version corrective d’OpenSSL ait été installée sur le site visité.

Déploiement du correctif

Le processus varie selon la distribution utilisée. Voici les principaux éléments :

Ubuntu 14

sudo add-apt-repository ppa:george-edison55/openssl-heartbleed-fix
sudo apt-get update
sudo apt-get upgrade

RedHat 6.5/CentOS 6.5

Via yum update (https://rhn.redhat.com/errata/RHSA-2014-0376.html)

Debian Wheezy (script automatique dispo ici)

openssl version
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/openssl_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
wget http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_1.0.1e-2+deb7u5_amd64.deb

dpkg -i openssl_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl1.0.0-dbg_1.0.1e-2+deb7u5_amd64.deb
dpkg -i libssl-dev_1.0.1e-2+deb7u5_amd64.deb

Redémarrage des services (Apache/Nginx) + SSH

dpkg -l openssl

Pour FreeBSD et les autres systèmes, vous pouvez jeter un œil ici. Webmaster et sysadmins, mettez tous à jour vos serveurs !

Les commentaires sont fermés.