Heartbleed

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Symbole utilisé pour communiquer sur la vulnérabilité Heartbleed.

Heartbleed est une vulnérabilité logicielle présente dans la bibliothèque de cryptographie open source OpenSSL depuis mars 2012, qui permet à un « attaquant » de lire la mémoire d'un serveur ou d'un client pour récupérer, par exemple, les clés privées utilisées lors d'une communication avec le protocole Transport Layer Security (TLS). Découverte en mars 2014 et rendue publique le 7 avril 2014, elle concerne de nombreux services Internet. Ainsi 17 % des serveurs web dits sécurisés, soit environ un demi-million de serveurs, seraient touchés par la faille au moment de la découverte du bogue[1].

Histoire[modifier | modifier le code]

La vulnérabilité aurait été introduite par erreur[2] dans le référentiel d'OpenSSL, suite à une proposition de correction de bugs et d'améliorations de fonctionnalités, par un développeur bénévole[2],[3]. La proposition a été examinée et validée par l'équipe d'OpenSSL le 31 décembre 2011[4], et le code vulnérable a été ajouté dans la version 1.0.1 d'OpenSSL, le 14 mars 2012[5],[6],[7].

En avril 2014, le bug a été découvert, de manière indépendante, par l'équipe sécurité de Google et par des ingénieurs de la société finlandaise Codenomicon[8],[7].

Impact[modifier | modifier le code]

Cette faille pourrait permettre à des internautes mal intentionnés de récupérer des informations situées sur les serveurs d'un site vulnérable, à l'insu de l'utilisateur qui les possède. Ces informations personnelles sont censées être inaccessibles et protégées, mais cependant plusieurs experts ont retrouvé des mots de passe d'utilisateurs de sites victimes. Néanmoins, un informaticien de Google ayant participé à la correction de la faille reste plus mesuré et écrit n'avoir vu que des informations parcellaires ou ne pas avoir vu d'informations sensibles[9].

Les résultats d'audit semblent montrer que certains « attaquants » peuvent avoir exploité la faille pendant au moins cinq mois avant qu'elle ne soit officiellement découverte et corrigée[réf. nécessaire].

Les appareils sous Android 4.1.1 sont concernés par la faille, soit un peu moins de 10 % des appareils actifs[10].

L'impact possible de la faille a d'abord été abordé par le principe de précaution, de nombreux sites demandant à leurs utilisateurs de changer leur mot de passe après avoir appliqué les mises à jour de sécurité. Le 11 avril 2014, CloudFlare explique que ses spécialistes en sécurité n'ont pas réussi à exploiter la faille pour extraire des clés de sécurité SSL, en déduisant que les risques encourus sont peut-être moins importants que prévus[11]. Pour le vérifier l'entreprise lance un concours d'exploitation de la faille, qui est remporté dans la journée par deux personnes[12].

Selon Bloomberg, la National Security Agency (NSA) a exploité la faille pendant au moins deux ans, pour des opérations de surveillance et d'espionnage[13]. L'agence dément le jour même[14].

Des experts, dont Johannes Ullrich du SANS Institute, indiquent que la mise à jour des certificats de sécurité des navigateurs web ralentirait l'accès à certains sites[15].

Le site de Filippo Valsorda permet de tester si un site est vulnérable ou non[9].

Versions vulnérables[modifier | modifier le code]

  • Les versions antérieures (0.9.8 et 1.0.0) d'OpenSSL ne sont pas vulnérables à ce bug[7].
  • Les versions 1.0.1 (disponibles depuis décembre 2011) à 1.0.1f (incluse) d'OpenSSL sont vulnérables[7].
  • La version 1.0.1g disponible depuis le 7 avril 2014 corrige le bug[7].

Services et logiciels impactés[modifier | modifier le code]

Sites internet[modifier | modifier le code]

Les sites suivants ont été affectés ou ont fait des annonces recommandant à leurs utilisateurs de changer leurs mots de passe, suite au bug :

Applications[modifier | modifier le code]

De nombreuses applications sont impactées par ce bug. Les éditeurs fournissent des mises à jour, comme par exemple :

Des services de jeux en ligne comme Steam, Minecraft, League of Legends, Good Old Games, Origin Systems, Secret of Evermore, Humble Bundle, et Path of Exile sont aussi affectés[46].

Systèmes d'exploitation[modifier | modifier le code]

  • Android 4.1.1 (Jelly Bean), utilisé dans de nombreux smartphones[47]
  • Firmware des disques durs Western Digital de la gamme de produits "My Cloud" (intégrant une solution de stockage dans le Cloud Computing)[52]

Notes et références[modifier | modifier le code]

  1. (en) Half a million widely trusted websites vulnerable to Heartbleed bug, Netcraft, 8 avril 2014
  2. a et b (en) « Man who introduced serious 'Heartbleed' security flaw denies he inserted it deliberately », Sydney Morning Herald,‎ 11 avril 2014
  3. « Meet the man who created the bug that almost broke the Internet », Globe and Mail,‎ 11 avril 2014 (lire en ligne)
  4. « #2658: [PATCH] Add TLS/DTLS Heartbeats », OpenSSL,‎ 2011
  5. (en) Codenomicon Ltd, « Heartbleed Bug »,‎ 8 avril 2014 (consulté le 8 avril 2014)
  6. (en) Dan Goodin, « Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping », Ars Technica,‎ 8 avril 2014 (consulté le 8 avril 2014)
  7. a, b, c, d et e Site d'information sur le bug - heartbleed.com, le 12 avril 2014
  8. Premier email d'information sur le bug, 6 avril 2014, Site du référentiel d'OpenSSL
  9. a et b « Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? », Le Monde,‎ 9 avril 2014 (lire en ligne)
  10. (en) Jordan Robertson, « Millions of Android Devices Vulnerable to Heartbleed Bug », sur Bloomberg,‎ 12 avril 2014 (consulté le 13 avril 2014)
  11. (en) Nick Sullivan, « Answering the Critical Question: Can You Get Private SSL Keys Using Heartbleed? », sur CloudFlare,‎ 11 avril 2014 (consulté le 12 avril 2014)
  12. (en) « The Heartbleed Challenge », sur CloudFlare
  13. (en) Michael Riley, « NSA Said to Exploit Heartbleed Bug for Intelligence for Years », sur Bloomberg,‎ 12 avril 2014 (consulté le 12 avril 2014)
  14. (en) ODNI Public Affairs Office, « IC on the Record », sur Office of the Director of National Intelligence, Tumblr,‎ 11 avril 2014 (consulté le 12 avril 2014)
  15. « Heartbleed : attendez-vous à des lenteurs sur Internet », sur Le Figaro,‎ 16 avril 2014 (consulté le 16 avril 2014)
  16. « Heartbleed FAQ: Akamai Systems Patched », Akamai Technologies,‎ 8 avril 2014 (lire en ligne)
  17. « AWS Services Updated to Address OpenSSL Vulnerability », Amazon Web Services,‎ 8 avril 2014 (lire en ligne)
  18. « Dear readers, please change your Ars account passwords ASAP », Ars Technica,‎ 8 avril 2014 (lire en ligne)
  19. « All Heartbleed upgrades are now complete », BitBucket Blog,‎ 9 avril 2014 (lire en ligne)
  20. « Keeping Your BrandVerity Account Safe from the Heartbleed Bug », BrandVerity Blog,‎ 9 avril 2014 (lire en ligne)
  21. « Twitter / freenodestaff: we've had to restart a bunch... »,‎ 8 avril 2014
  22. « Security: Heartbleed vulnerability », GitHub,‎ 8 avril 2014 (lire en ligne)
  23. « IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed », LifeHacker,‎ 8 avril 2014 (lire en ligne)
  24. « Heartbleed bug and the Archive | Internet Archive Blogs », Blog.archive.org,‎ 9 avril 2014 (consulté le 14 avril 2014)
  25. « Twitter / KrisJelbring: If you logged in to any of », Twitter.com,‎ 8 avril 2014 (consulté le 14 avril 2014)
  26. Leo Kelion, « BBC News - Heartbleed hacks hit Mumsnet and Canada's tax agency », BBC News,‎ 2014-04-14
  27. « The widespread OpenSSL ‘Heartbleed’ bug is patched in PeerJ », PeerJ,‎ 9 avril 2014 (lire en ligne)
  28. « Was Pinterest impacted by the Heartbleed issue? », Help Center, Pinterest (consulté le 20 avril 2014)
  29. « Heartbleed Defeated » (ArchiveWikiwixArchive.isGoogleQue faire ?). Consulté le 13 avril 2014
  30. Staff, « We recommend that you change your reddit password », Reddit,‎ 14 avril 2014 (consulté le 14 avril 2014)
  31. « IMPORTANT ANNOUNCEMENTS FROM THE MAKERS OF CHILI » (consulté le 13 avril 2014)
  32. Brendan Codey, « Security Update: We’re going to sign out everyone today, here’s why », SoundCloud,‎ 9 avril 2014 (lire en ligne)
  33. "ctsai", « SourceForge response to Heartbleed », SourceForge,‎ 10 avril 2014 (lire en ligne)
  34. « Heartbleed », SparkFun,‎ 9 avril 2014 (lire en ligne)
  35. « Heartbleed », Stripe (company),‎ 9 avril 2014 (lire en ligne)
  36. « Tumblr Staff-Urgent security update »,‎ 8 avril 2014 (consulté le 9 avril 2014)
  37. Alex Hern, « Heartbleed: don't rush to update passwords, security experts warn », The Guardian,‎ 9 avril 2014 (lire en ligne)
  38. Greg Grossmeier, « Wikimedia's response to the "Heartbleed" security vulnerability », Wikimedia Foundation blog, Wikimedia Foundation,‎ 10 avril 2014 (consulté le 10 avril 2014)
  39. « Wunderlist & the Heartbleed OpenSSL Vulnerability »,‎ 10 avril 2014
  40. (en) IPCop, « IPCop 2.1.4 is released », SourceForge electronic mailing lists,‎ 8 avril 2014 (consulté le 11 avril 2014)
  41. (en) italovignoli, « LibreOffice 4.2.3 is now available for download », sur The Document Foundation,‎ 10 avril 2014 (consulté le 11 avril 2014)
  42. « LogMeIn and OpenSSL », LogMeIn,‎ 9 avril 2014 (lire en ligne)
  43. « HP Servers Communication: OpenSSL "HeartBleed" Vulnerability »,‎ 18 avril 2014
  44. « McAfee Security Bulletin – OpenSSL Heartbleed vulnerability patched in McAfee products », sur McAfee KnowledgeBase, McAfee,‎ 2014-04-17
  45. « Response to OpenSSL security issue CVE-2014-0160/CVE-2014-0346 a.k.a: "Heartbleed" », VMware, Inc (consulté le 2014-04-17)
  46. Paul Younger, « PC game services affected by Heartbleed and actions you need to take », IncGamers,‎ 2014-04-11
  47. (en) « Heartbleed: Android 4.1.1 Jelly Bean could be seriously affected », BGR Media,‎ 2014-04-16
  48. Alexis Kleinman, « The Heartbleed Bug Goes Even Deeper Than We Realized – Here's What You Should Do », The Huffington Post,‎ 11 avril 2014 (lire en ligne)
  49. a et b (en) Danny Yadron, « Heartbleed Bug Found in Cisco Routers, Juniper Gear », Dow Jones & Company, Inc,‎ 2014-04-10
  50. (en) « Cisco Security Advisory: OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products », Cisco,‎ 2014-04-09
  51. (en) « 2014-04 Out of Cycle Security Bulletin: Multiple products affected by OpenSSL "Heartbleed" issue (CVE-2014-0160) », Juniper Networks,‎ 2014-04-14
  52. (en) « Heartbleed Bug Issue », Western Digital,‎ 10 avril 2014 (lire en ligne)

Annexes[modifier | modifier le code]

Sur les autres projets Wikimedia :

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]