Les vulnérabilités ont tendance à se transformer au fil du temps. Dès leur identification, les chercheurs, les entreprises et les experts ont tendance à s'empresser d'émettre des avis, parfois factuels, parfois moins.
Les révélations concernant Heartbleed n'ont pas fait exception. Cependant, l'une des découvertes les plus intéressantes a été faite ces derniers jours.
Dans un premier temps, beaucoup se sont empressés de nier que les clés privées pouvaient être exposées par le biais du bogue OpenSSL. Il s'avère que ce n'est pas vrai. Les clés privées sont vulnérables.
Cloudflare, qui avait initialement déclaré que les clés privées ne pouvaient pas être exposées, a proposé à quiconque de prouver le contraire. Résultats...deux personnes ont pu obtenir suffisamment d'informations pour reproduire la signature des clés privées utilisées sur le serveur de défi.
Qu'est-ce que cela signifie ? En bref, la sécurité de l'internet et des réseaux d'entreprise est devenue un peu plus effrayante. Prenons un moment pour analyser ce que nous savons maintenant.
La mauvaise nouvelle est que les produits et les serveurs qui utilisent OpenSSL 1.0.1a à 1.0.1f (inclus) sont vulnérables et risquent d'être compromis. À cause de cette vulnérabilité, des informations autrement considérées comme privées pourraient en fait avoir été exposées. Le bogue à l'origine de cette vulnérabilité existe depuis environ deux ans, ce qui signifie que de nombreuses informations ont pu être capturées.
La pire nouvelle est que les clés privées des certificats SSL utilisés pour crypter toutes les données voyageant vers et depuis ces serveurs peuvent être décryptées à la volée si quelqu'un possède les clés privées de ces serveurs.
Et si vous pensiez qu'il s'agissait d'une très mauvaise nouvelle... il s'avère que de nombreux produits ont intégré les bibliothèques OpenSSL en question à l'intérieur de leurs produits. Il s'agit notamment de produits de grands fournisseurs tels que Cisco, Juniper et certaines versions d'Android, pour n'en citer que quelques-uns.
Alors que les administrateurs de réseau s'efforcent d'obtenir des correctifs pour les serveurs web, il s'avère que ceux-ci ne sont que la partie émergée de l'iceberg pour cette vulnérabilité.
Pour beaucoup, la question est donc de savoir ce qui a été compromis. Nous devons réfléchir à un champ d'application qui n'a jamais été envisagé auparavant. En réalité, de nombreux éléments peuvent avoir été compromis. En fait, on peut raisonnablement supposer que toutes les données transitant par l'un des points finaux concernés (serveurs web, routeurs, commutateurs, etc.) ont pu être compromises. C'est un peu comme si vous viviez dans une maison avec des centaines de portes et seulement quelques clés qui peuvent être utilisées pour ouvrir chaque porte. Aujourd'hui, quelqu'un d'autre possède une copie de cette clé et peut aller et venir à sa guise. Vous ne saurez jamais s'ils sont entrés ou non.
La seule façon de résoudre le problème est de changer les serrures et d'obtenir de nouvelles clés. L'accent est mis sur l'obtention de nouvelles clés. Le changement de clés privées est le seul moyen d'être totalement protégé contre Heartbleed.
Sans changer les clés privées des dispositifs concernés, c'est comme si vous appeliez un serrurier pour changer les serrures (appliquer le correctif) mais que les serrures étaient configurées pour utiliser la même clé (certificatSSL ) que celle que vous utilisiez auparavant. En bref, c'est aussi efficace que de changer les charnières et la poignée de porte et de peindre la porte dans l'espoir que le voleur pensera qu'il s'est trompé de maison parce que la porte a l'air différente.
Il est donc temps de réémettre tous les certificats qui se trouvent sur les produits et appareils concernés. Il est probable que la plupart des organisations ne connaissent pas tous les terminaux concernés et devront consacrer beaucoup de temps et d'efforts à la recherche et à l'application de correctifs aux serveurs SSL . La plupart ont ignoré les routeurs, commutateurs et autres équipements internes. Même si le correctif a été appliqué, si les certificats n'ont pas été mis à jour, ces appareils peuvent encore être vulnérables.
L'une des bonnes choses qui ressort de l'expérience Heartbleed est que les organisations devraient maintenant comprendre le rôle important que jouent les certificats dans une organisation. Bien que rien ne puisse éliminer la douleur associée à l'identification, aux correctifs et à la réémission des certificats nécessaires à la suite de Heartbleed, l'importance de connaître et de pouvoir gérer le cycle de vie des certificats au sein d'une entreprise devrait maintenant être très claire. Les outils permettant d'identifier rapidement les certificats "à risque" et d'y remédier ne doivent pas être négligés dans le cadre d'une stratégie et d'un outil de sécurité complets.