Cybersécurité - Innovations digitales et numériques

En attendant, la vulnérabilité Heartbleed continue d’être exploitée par les pirates. Mandiant relève ainsi qu’elle a été mise à profit contre une appliance VPN pour détourner des sessions d’utilisateurs actives et, ainsi, contourner les mécanismes d’authentification à facteurs multiples.

Le 7 avril, le projet OpenSSL a livré un correctif pour patcher ce bug, et nombre de services informatiques se sont précipités pour corriger le logiciel sur les serveurs et dans certains systèmes d'exploitation client. « Le 17 avril, une grande majorité des serveurs exposés avait été corrigés », avait déclaré Sucuri Security dans un billet de blog ce jour-là. Mais, si la totalité des 1000 premiers sites classés par Alexa étaient à l'abri, Sucuri a trouvé de plus en plus de sites exposés au fur et à mesure qu'elle élargissait son balayage. Ainsi sur les 10 000 premiers sites, 0,53 % étaient vulnérables, sur les 100 000 premiers, le taux passe à 1,5 %, et sur le premier million, Sucuri arrive à 2 % de sites vulnérables.

Depuis le 7 avril, un nom et un logo, jusqu’alors inconnus, ont fait le tour du Web : Heartbleed, un cœur qui saigne. L’importance de cette faille de sécurité affectant la librairie de chiffrement SSL/TLS OpenSSL explique cet embrasement sur le sujet. Si les acteurs du Web ont très rapidement mis à jour leur librairie (vers la version 1.0.1g expurgée de Heartbleed), le problème est loin – très loin même – d’avoir été réglé. Et il ne se limite pas aux seuls acteurs du Web : toutes les DSI sont, de près ou de loin, concernées par Heartbleed en raison de l’emploi très courant de la librairie OpenSSL dans des logiciels et matériels du marché.

En 5 points, Silicon.fr vous livre une première check-list pour évaluer les risques et prendre les premières contre-mesures.

Comme on pouvait s'y attendre, OpenSSL est le projet qui figure en haut de ses priorités. La faille découverte au début du mois dans la bibliothèque de chiffrement, utilisée par des millions de sites web pour chiffrer leurs communications via SSL (Secure Sockets Layer) et TLS (Transport Layer Security), a plongé l'ensemble de l'industrie informatique dans l'urgence. Tous les fournisseurs ont l'un après l'autre publié des correctifs et continuent à travailler d'arrache-pied pour corriger ceux de leurs produits qui prêtent encore le flanc à la vulnérabilité. Si elle est exploitée, la faille permet à un attaquant de voler des données sensibles sur les systèmes affectés, tels que les identifiants des comptes et les mots de passe. En début de semaine, les 1 000 premiers sites web au niveau mondial avaient été patchés mais un certain nombre d'autres sites devaient encore appliquer des correctifs.

Au final, si les entreprises européennes doivent prendre conscience que la protection des données est essentielle à leur succès mais, qu’au-delà de l’aspect technique, elles doivent également prendre en compte les éléments juridiques et organisationnels essentiels à la protection des données.
C’est d’ailleurs la raison pour laquelle de nombreux experts en matière de sécurité recommandent aux entreprises européennes de faire appel aux prestataires de services européens dont les serveurs se trouvent au sein de l’UE afin de répondre aux risques juridiques.

Un porte-parole du Conseil de sécurité nationale a également démenti que « la NSA ou toute autre branche du gouvernement » aient eu connaissance de la faille. « Le gouvernement fédéral a lui aussi recours à l’OpenSSL pour protéger les utilisateurs de sites internet gouvernementaux. Cette administration prend au sérieux sa responsabilité d’aider au maintien d’un internet ouvert, interopérable, sécurisé et sûr. Si le gouvernement fédéral, y compris la communauté du renseignement, avait découvert cette vulnérabilité avant la semaine passée, il en aurait informé la communauté responsable de l’OpenSSL. »

De nombreux outils d'analyse sont disponibles gratuitement sur le web pour savoir si des sites reposent sur cette bibliothèque OpenSSL imparfaite, qui est utilisé depuis deux ans environ. OpenSSL est l'implémentation Open Source des Secure Sockets Layer, qui sont utilisés pour chiffrer les communications entre un navigateur et un serveur web. La vulnérabilité récemment mise à jour permet de consulter la mémoire du serveur et de voler les informations touchant à l'identification, les mots de passe et autres données.

Au moins un demi-million de serveurs, soit 17% des sites web sécurisés, présenteraient une vulnérabilité de type Heartbleed. Ce sont les cibles recherchées par les cybercriminels qui tentent d'atteindre les sites avant leurs administrateurs appliquent le patch disponible gratuitement.

Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.

Baptisé Heartbleed, la vulnérabilité en question provient d'un bug dans l'implémentation d'OpenSSL sur les serveurs des sociétés pour la prise en charge du protocole de chiffrement TLS. Le problème a été repéré cette semaine, toutefois, l'on ne sait si cette faille a été exploitée par des hackers malintentionnés. Dans le doute il est conseillé de changer son mot de passe pour les sites vulnérables ayant potentiellement été affectés. Les sociétés ayant implémenté le protocole TLS au moyen d'OpenSSL peuvent d'ores et déjà ajouter un patch sur leur serveur afin de limiter l'ampleur de l'attaque.