Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

OpenSSL faille Heartbleed : comprendre et se protéger

OpenSSL faille Heartbleed : comprendre et se protéger
2014-04-092014-04-11Web/Techfr
Coup de semonce sur Internet. La faille « Heartbleed » identifiée dans la librairie OpenSSL permet de récupérer à distance des données présentes en mémoire depuis un serveur vulnérable.
Publié le 9 Avril 2014 par Jean-François Audenard dans Web/Tech
OpenSSL faille Heartbleed : comprendre et se protéger

Coup de semonce sur Internet. La faille « Heartbleed » identifiée dans la librairie OpenSSL permet de récupérer à distance des données présentes en mémoire depuis un serveur vulnérable.

une belle fuite de données

La faille « Heartbleed » est provoquée par une erreur au niveau de la fonction de « heartbeat » entre un client et un serveur SSL. Cette fonction de « heartbeat » a été introduite afin de permettre à un client et serveur de maintenir active une connexion SSL même dans le cas où aucune donnée n’est à transmettre.

Dans cette fonction de « heartbeat », le client envoie un certain volume de données vers le serveur ; ce dernier les renvoie ensuite vers le client. Cet « aller-retour » permet de vérifier que la connexion est bien opérationnelle.

La faille se trouve du côté du serveur. Celui-ci ne vérifie pas que le nombre de données indiqué par le client correspond effectivement à celui envoyé… un client peut donc envoyer 2000 octets de données et indiquer en avoir envoyé 64.000…. le serveur renverra vers le client les 2000 octets reçus du client + 62.000 octets récupérés de sa mémoire…

Dans ces 62.000 octets, il peut y avoir des données sensibles comme des cookies, des mots de passe, ….

Pour ceux qui veulent plus d’explications, ils ont l’article de Naked Security (très clair), celui de ARS Technica mais aussi celui de Existentialize (détaillé). Les curieux pourront aller voir sur GitHub le commit qui a inséré le bug.

des services et scripts pour tester si un site est vulnérable

Pour tester si vos sites et serveurs sont vulnérables à la faille « heartbleed », il y a des services en ligne comme celui de Filippo.io ou alors ; pour un test plus complet ; le SSL Labs de Qualys. Dans la catégorie des services simples il y aussi SubMeet et Possible.lv (…).

Des scripts sont aussi disponibles. Sous GitHub, on trouve des scripts en langage Python (« mitsuhiko », « takeshixx » et surtout « mothran ») mais aussi en langage Go ( « titanous »).

autres outils de détection et d’identification

Des signatures permettant de détecter si quelqu’un tente d’attaquer vos serveurs web sont disponibles à cette page. Il y a aussi l’outil Masscan qui permet de scanner un ensemble de serveurs pour identifier ceux qui sont vulnérables. Des signatures pour des scanners de détection de vulnérabilité comme Tenable ou OpenVAS sont aussi disponibles.

pas uniquement  les serveurs web

Attention à ne pas faire l’erreur de ne prendre en compte que les serveurs Web. En effet, la librairie OpenSSL est utilisée pour sécuriser de nombreux services comme les emails (SMTPS/SMTP +STARTTLS, POPs/IMAPS) mais aussi les messageries instantanées (XMPP). On la retrouve dans les équilibreurs de charge (Load-Balancers) et les passerelles d’accès distant (VPN-SSL) et dans encore plus d’autres systèmes et logiciels.

que faut-il en retirer sur le long terme ?

Eviter la monoculture en utilisant d’autres librairies que OpenSSL : Il y a Botan et GNUTLS. Les entreprises devraient financer les projets OpenSource comme OpenSSL. C’est un enjeu business que d’avoir des librairies de chiffrement performantes et exemptes de failles de sécurité. Se reposer sur « la communauté » pour sécuriser ses services, ses données et celles de ses clients n’est-elle pas un peu « cavalier », voire même inconscient ?

Le financement pourrait être effectué de façon directe (typiquement en passant via une fondation comme la fondation GNU, ….), en proposant des « bug-bounties » comme le font les grands acteurs comme Google ou Microsoft afin d’encourager les chercheurs en sécurité. Ou alors, en dégageant du temps auprès de leurs employés pour qu’ils puissent travailler sur ces librairies durant leur temps de travail.

Jean-François Audenard (aka Jeff)

Crédit photo : © veroji - Fotolia.com

7 Commentaires

  • 11 Avril 2014
    2014-04-11
    par
    Jeff Audenard
    @JackJack : Un site - qui a été vulnérable - (et qui a fait la mise à jour depuis) devrait impérativement renouveller son certificat. La raison est que l'ancienne clef secrete correspondant au certificat de 2012 a pu être "captée" via la faille. J'en profilet pour partager cette extension Firefox qui teste si un site est vulnérable ou non (https://addons.mozilla.org/en-US/firefox/addon/heartbleed-checker/) - Pas testé pour le moment. Jeff.
  • 11 Avril 2014
    2014-04-11
    par
    Jackjack
    Merci pour les explications. On peut faire quelque chose au niveau de son browser ? Un site internet sur lequel je souhaite me connecter, qui a fait la maj OpenSSL, mais qui dispose d'un certificat vieux de 2012 ==> est il est encore vulnérable ?
  • 11 Avril 2014
    2014-04-11
    par
    Jeff Audenard
    @Yan : Merci c'est corrigé. Sinon, une précision importante. En fait, les logiciels clients qui utilisent la librairie OpenSSL sont aussi potentiellement impactés si ils se connectent à un serveur malicieux. Outil "Pacemaker" qui permet de tester si un logiciel client est vulnérable : https://github.com/Lekensteyn/pacemaker
    Jeff.
  • 11 Avril 2014
    2014-04-11
    par
    Jeff Audenard
    @Clement : Oui, cela se veut un peu provocateur. Rares sont les entreprises Françaises qui financent (directement ou indirectement) la sécurité de projets OpenSource. Il y a effectivement des acteurs comme Linagora (pour ne citer qu'eux) qui de part leurs activités font avancer l'OpenSource. Voir ces tweets pour plus de précisions/contexte: https://twitter.com/jeffman78/status/454269290305564672 & https://twitter.com/0xdabbad00/statuses/454251253854662656
  • 11 Avril 2014
    2014-04-11
    par
    Clement
    Bonjour.Conclure l'article en écrivant que des grands acteurs comme Google et Microsoft encouragent les recherches en sécurité, est une provocation ou une blague?

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage