Un bogue massif dans OpenSSL met une grande partie d'Internet à risque

Un bogue massif dans OpenSSL met une grande partie d'Internet à risque / Sécurité

Si vous êtes un de ceux qui ont toujours cru que la cryptographie à source ouverte était le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris.

Cette semaine, Neel Mehta, membre de l'équipe de sécurité de Google, a informé l'équipe de développement d'OpenSSL de l'existence d'un exploit avec OpenSSL. “battement de coeur” fonctionnalité. Google a découvert le bogue en travaillant avec la firme de sécurité Codenomicon pour tenter de pirater ses propres serveurs. À la suite de la notification de Google, le 7 avril, l'équipe OpenSSL a publié son propre avis de sécurité, ainsi qu'un correctif d'urgence pour le bogue..

Le bogue a déjà reçu le surnom “Heartbleed” par des analystes en sécurité Expert en sécurité Bruce Schneier Sur les mots de passe, la confidentialité et la confiance Expert en sécurité Bruce Schneier Sur les mots de passe, la confidentialité et la confiance En savoir plus sur la sécurité et la confidentialité dans notre entretien avec l'expert en sécurité Bruce Schneier. En savoir plus, car il utilise OpenSSL “battement de coeur” fonctionnalité permettant au système sous OpenSSL de révéler des informations sensibles susceptibles d’être stockées dans la mémoire système. Même si une grande partie des informations stockées en mémoire n'a pas beaucoup de valeur pour les pirates informatiques, la gemme capturerait les clés mêmes que le système utilise pour chiffrer les communications. 5 façons de chiffrer vos fichiers en toute sécurité sur le cloud Cloud Vos fichiers peuvent être cryptés en transit et sur les serveurs du fournisseur de cloud, mais la société de stockage dans le cloud peut les décrypter - et toute personne ayant accès à votre compte peut les visualiser. Côté client… En savoir plus .

Une fois les clés obtenues, les pirates informatiques peuvent alors déchiffrer les communications et capturer des informations sensibles telles que les mots de passe, les numéros de carte de crédit, etc. La seule condition requise pour obtenir ces clés sensibles est de consommer les données cryptées du serveur suffisamment longtemps pour capturer les clés. L'attaque est indétectable et introuvable.

Le bogue du battement de coeur OpenSSL

Les conséquences de cette faille de sécurité sont énormes. OpenSSL a été créé en décembre 2011 et est rapidement devenu une bibliothèque cryptographique utilisée par les entreprises et les organisations à travers Internet pour chiffrer des informations et des communications sensibles. C’est le chiffrement utilisé par le serveur Web Apache, sur lequel presque la moitié des sites Web sur Internet reposent.

Selon l'équipe OpenSSL, la faille de sécurité provient d'une faille logicielle.

“Une vérification des limites manquante dans la gestion de l'extension de pulsation TLS peut être utilisée pour révéler jusqu'à 64 Ko de mémoire à un client ou à un serveur connecté. Seules les versions 1.0.1 et 1.0.2-bêta d'OpenSSL sont concernées, notamment 1.0.1f et 1.0.2-beta1..”


Sans laisser de trace dans les journaux du serveur, les pirates pourraient exploiter cette faiblesse pour obtenir des données chiffrées de certains des serveurs les plus sensibles sur Internet, tels que les serveurs Web des banques, les serveurs de sociétés de cartes de crédit, les sites Web de paiement de factures, etc..

La probabilité que des pirates informatiques obtiennent les clés secrètes reste toutefois incertaine, car Adam Langley, expert en sécurité chez Google, a posté sur son flux Twitter que ses propres tests ne révélaient rien de plus sensible que les clés de cryptage secrètes..

Dans son avis de sécurité du 7 avril, l’équipe OpenSSL a recommandé une mise à niveau immédiate et un correctif alternatif pour les administrateurs de serveur qui ne peuvent pas mettre à niveau..

“Les utilisateurs concernés doivent effectuer une mise à niveau vers OpenSSL 1.0.1g. Les utilisateurs incapables de mettre à niveau immédiatement peuvent également recompiler OpenSSL avec -DOPENSSL_NO_HEARTBEATS. 1.0.2 sera corrigé dans 1.0.2-beta2.”

En raison de la prolifération d'OpenSSL sur Internet au cours des deux dernières années, le risque que l'annonce de Google conduise à des attaques imminentes est assez élevé. Cependant, l'impact de ces attaques peut être atténué par le plus grand nombre possible d'administrateurs de serveurs et de responsables de la sécurité qui mettent à niveau leurs systèmes d'entreprise vers OpenSSL 1.0.1g dès que possible..

Source: OpenSSL

En savoir plus sur: Sécurité en ligne, OpenSSL, Mot de passe, SSL.