Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • Vulnérabilité Heartbleed : Ce qu'il faut savoir

Vulnérabilité Heartbleed : Ce qu'il faut savoir

Le 7 avril 2014, une grave vulnérabilité appelée "Heartbleed" a été annoncée. Heartbleed est une vulnérabilité dans la série OpenSSL 1.0.1 software qui est décrite dans l'annonce NIST CVE-2014-0160. En bref, cette vulnérabilité permet aux pirates d'accéder à des parties de la mémoire d'un système vulnérable, ce qui peut entraîner l'exposition de mots de passe, de données sensibles et de clés privées de certificats sur les systèmes concernés. Heartbleed y parvient en exploitant une faiblesse dans "TLS Heartbeat Extension", exposant ainsi la mémoire du serveur. Pire encore, cette attaque par battement de cœur peut être répétée à l'insu de la victime, et chaque itération révèle à l'attaquant un nouvel instantané de 64k de la mémoire. Cette vulnérabilité très grave expose les données les plus sensibles des systèmes affectés.

La bonne nouvelle : la vulnérabilité a un correctif. Cependant, l'adoption généralisée de la série OpenSSL 1.0.1 software, associée aux deux années d'existence de cette vulnérabilité, signifie que les risques attribuables à Heartbleed sont énormes. Selon les estimations actuelles, plus de 500 000 systèmes pourraient être vulnérables. Plus précisément, la vulnérabilité Heartbleed affecte les systèmes qui utilisent OpenSSL 1.0.1 (a-f). Malheureusement, étant donné que ce site software est largement implémenté, de nombreuses plates-formes de systèmes d'exploitation populaires sont affectées et donc vulnérables. Je suggère de consulter le site web du CERT pour obtenir une liste plus détaillée des plates-formes concernées. Il convient de préciser qu'il s'agit d'une affaire en cours de développement et que la liste des plates-formes concernées est donc susceptible d'évoluer.

Il est important de comprendre que cette vulnérabilité ne se limite pas aux serveurs web. Compte tenu de la popularité d'OpenSSL, de la tendance actuelle à l'"Internet des objets" et du fait que de nombreux appareils modernes sont désormais dotés d'interfaces de configuration web protégées par SSL , le nombre d'appareils potentiellement vulnérables est immense. Tout, des routeurs de réseau aux systèmes de contrôle industriel, peut être vulnérable.

Déterminer l'étendue de votre exposition à cette vulnérabilité peut être un défi non trivial pour une grande organisation. La détermination de la vulnérabilité comprendra sans aucun doute un examen des plates-formes de l'entreprise qui sont touchées et un examen des versions d'OpenSSL utilisées sur ces systèmes. En outre, si vous utilisez la dernière version d'OpenSSL, il existe des méthodes de script qui peuvent être utilisées pour interroger interactivement un système afin de déterminer sa vulnérabilité, comme la ligne command ci-dessous :

echo -e "quit\n" | openssl s_client -connect 192.168.1.1:443 -tlsextdebug 2>&1 | grep 'server extension "heartbeat" (id=15)' || echo safe

Enfin, il existe des sites en ligne qui, à partir d'un hôte et d'un port DNS , peuvent vérifier la présence de la vulnérabilité Heartbleed.

Si l'on détermine que son site ou son serveur est vulnérable, que faire ? Quel est le meilleur plan d'action ?

S'il est établi qu'un serveur est vulnérable, il faut, pour être totalement sûr, supposer que toutes les données sensibles qui ont pu se trouver dans la mémoire de ce système ont été compromises. Il est important de rappeler que cette vulnérabilité fait partie de la base de code OpenSSL depuis plus de deux ans. Étant donné la nature intraçable de cette exposition, il n'existe aucun moyen sûr de déterminer l'ampleur d'une attaque, c'est pourquoi toutes les données des systèmes affectés doivent être suspectes.

  • Les mots de passe de tous les comptes concernés doivent être réinitialisés.
  • Tous les certificats de systèmes vulnérables dont les clés privées ne sont pas protégées par un HSM ou un système cryptographique ( hardware ) doivent être révoqués et remplacés par des certificats contenant de nouvelles clés.
  • Toute donnée sensible devra faire l'objet d'une évaluation quant à sa compromission.

Il est également important de comprendre qu'il ne s'agit pas d'une compromission des certificats PKI, SSL, TLS ou X.509. Heartbleed est plutôt un exploit des systèmes qui utilisent PKI. Ainsi, tout nouveau certificat nécessaire pour recoder les systèmes vulnérables sera soumis aux exigences des certificats originaux qui ont été utilisés pour créer les certificats originaux. Cela dit, le CSS suggère toujours que, lors d'un renouvellement de certificat ou d'un réenregistrement, une analyse de la taille de la clé, de l'algorithme de hachage et des exigences de chaînage soit effectuée dans le cadre du processus global d'enregistrement du certificat.