Le 7 avril dernier, une nouvelle vulnérabilité informatique a été détectée, Heartbleed, qui a particulièrement affolé le Web. En effet, Heartbleed se niche au cœur du protocole
SSL
[1]
permettant d’assurer la sécurité des communications entre un site Web et le navigateur du client. Plus exactement, la faille touche les versions du protocole TLS (Transport Layer Security) basées sur la bibliothèque OpenSSL 1.01 à 1.01f, et plus particulièrement l’extension KeepAlive qui permet de maintenir des sessions SSL actives sans avoir à les renégocier en permettant un échange de données aléatoires entre le site et le poste client. Dans les versions vulnérables, ces données aléatoires sont des données en mémoire du serveur Web, comme le login, le mot de passe de la session ou certaines données d’affichage. Les sites Web ouvrant plusieurs sessions SSL en même temps, un client mal intentionné peut récupérer, via ces paquets, les données des autres utilisateurs du site, et le faire jusqu’à ce qu’il déniche quelque chose d’intéressant.
Contacté dès le 8 avril, Jeremy Doinne, directeur de recherche réseau et sécurité chez Gartner, considérait déjà la faille comme monumentale : « les estimations varient, mais elle touche a priori jusqu’à 30 % des serveurs SSL. Le gros souci, c’est que sur beaucoup d’implémentation de SSL, on n’utilise pas le forward
secrecy
[2]
. On peut alors lire les réponses de paquets de sessions SSL passées. Or, 80 % des sites ne supportent pas le forward secrecy. »
À peine officialisée, la faille disposait déjà d’une rustine, à télécharger avec la version 1.01 g d’OpenSSL. Si certains sites, comme Yahoo, ont été particulièrement transparents avec leurs utilisateurs, ce n’est pas le cas des banques. Hormis la Société Générale, qui a prévenu par le compte Twitter de son
CERT
[3]
n’être pas concernée par la faille, aucune banque française ni aucun émetteur de carte n’a communiqué sur le sujet. Laissant beaucoup de clients dans le doute, d’autant qu'après la découverte de cette faille, de nombreux sites et extensions pour navigateurs proposent de détecter si le site visité est vulnérable ou non – avec de nombreux faux positifs détectés. Lors de nos tests, le 8 avril, tous les sites de banques en ligne français étaient ainsi déclarés vulnérables par l’un d’entre eux, alors que d’autres proposaient des résultats différents. D’autant que les applications mobiles peuvent aussi être touchées si elles se connectent à un site Internet vulnérable, un détail que les utilisateurs finaux négligent le plus souvent. Depuis les révélations du 7 avril, chaque jour qui passe dévoile un peu plus de détails sur Heartbleed, que ce soit des faits établis, comme les vulnérabilités détectées et corrigées par Cisco et Juniper dans leurs routeurs, ou tenant plus de la rumeur, comme l’article de Bloomberg qui explique que la NSA connaissait cette faille depuis 2 ans et l’exploitait à son
profit
[4]
.
1
Secure Sockets Layer, protocole de sécurisation des échanges sur Internet.
2
Principe de sécurité informatique qui fait qu’une clé propre à une session ne peut être devinée si les clés d’origine sont compromises, ndlr.
3
Computer Emergency Response Team : centre d'alerte et de réaction aux attaques informatiques
4
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html
