Cybersécurité - Innovations digitales et numériques

Si la réponse de la communauté Web est plutôt satisfaisante en matière de patching, elle l’est beaucoup moins en matière de certificats. Rappelons que l’exploitation de la faille permet, en théorie, de récupérer en mémoire des informations sensibles, comme des clefs cryptographiques. En avril dernier, Arnaud Soullie, auditeur chez Solucom, expliquait dans nos colonnes : « Les découvreurs de Heartbleed ont dans un premier temps expliqué que les certificats n’étaient pas concernés par la faille. Mais, sur un environnement de test, deux assaillants sont parvenus à reconstituer la clef privée du serveur. Par mesure de précaution, il faut donc renouveler le certificat et régénérer une nouvelle clef privée ». Dans les faits, moins d’un quart des sites faisant partie du premier million du classement Alexa ont remplacé leurs certificats dans la semaine suivant la divulgation. Si les sites les plus populaires ont réagi très vite, seul 10 % de ceux qui étaient encore vulnérables 48 heures après la divulgation ont changé leurs certificats dans le mois qui a suivi. Et, parmi ces « bons élèves », 14 % ont ‘oublié’ de renouveler leur clef privée… annulant par là même le bénéfice provenant du remplacement des certificats.

Pour exploiter la vulnérabilité CVE-2014-0224 pour décrypter et modifier le trafic SSL, les attaquants doivent s'insinuer entre un client et un serveur utilisant tous deux le protocole OpenSSL. L'attaque dite « de l'homme du milieu » (HDM) ou « man in the middle » (MITM) a pour but d'intercepter les communications entre les deux parties, sans que, ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis ». Il faut aussi que le serveur exécute une version OpenSSL de la série 1.0.1.