«Heartbleed» : la faille qui frappe le cœur de la sécurité sur Internet

coeur

Une «catastrophe», le «cauchemar ultime», la «faille de la décennie». Depuis la découverte d’une faille de majeure sur Internet il y a tout juste une semaine, c’est l’affolement général parmi les experts en sécurité informatique et les responsables de sites Web. Heartbleed n’est en effet pas une vulnérabilité comme les autres.

 Heartbleed, c’est quoi?

Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».

L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann, a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.

La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la requête et obtenir en retour des données qui ne lui étaient pas destinées. Il peut ainsi récolter des informations transmises par d’autres utilisateurs lors de requêtes précédentes, encore stockées dans la mémoire temporaire des serveurs vulnérables: des identifiants et mots de passe, des cookies de sessions et peut-être des clés de chiffrement.

• Quels sont les sites touchés par la vulnérabilité Heartbleed?

La faille concerne tous les serveurs Web utilisant les versions d’OpenSSL publiées entre mars 2012 et avril 2014, rendant vulnérables tous les sites qu’ils hébergent et menaçant donc les informations de leurs utilisateurs. Les estimations vont d’un tiers à deux tiers des serveurs Web en fonctionnement dans le monde, dont des réseaux sociaux, des sites bancaires ou d’e-commerce. La société Netcraft, spécialisée dans la sécurité informatique, dénombre plus de 500.000 sites qui touchés par la faille Heartbleed. Parmi les victimes les plus illustres figurent Yahoo! et Imgur, fréquentés par des millions d’internautes.

La faille ne touche pas seulement des serveurs Web. La librairie OpenSSL est implémentée dans des équipements de réseau, comme des routeurs Cisco.

Quelles informations sont menacées?

L’erreur de programmation a été découverte début décembre 2013, à quelques jours d’intervalle par deux équipes, l’une de Google, l’autre d’une société finlandaise, Condominium. Leur trouvaille a été tenue secrète jusqu’au mardi 8 avril dans la matinée, pour laisser le temps de développer des correctifs, sans alerter des utilisateurs malintentionnés.

Il est compliqué de savoir si cette vulnérabilité a été un jour exploitée, car les attaques exploitant Heartbleed ne laissent théoriquement pas de trace. Un cas suspect, datant de novembre 2013, n’a pas encore été corroboré. L’Electronic Frontier Foundation, une organisation qui milite pour les libertés sur Internet, a lancé une grande chasse sur Internet pour tenter de retrouver des preuves d’exploitation de Heartbleed. «Si on démontre qu’il y a eu une exploitation avant le 8 avril, on sera dans le scénario du pire», commente Thomas Gayet, directeur stratégie en cybersécurité au sein du cabinet Lexsi.

Rien qu’en récoltant des identifiants et des mots de passe, il est possible de se connecter aux services de messagerie, à des sites bancaires ou des réseaux sociaux. «Heartbleed permet aux agresseurs d’espionner les conversations, de voler des données directement à leur source et de se faire passer pour un service ou un utilisateur en particulier», prévient Codenomicon. Ce dernier point fait débat. «En testant la faille je n’ai pas réussi à obtenir d’informations clés des serveurs, juste des historiques de connexion et des cookies», expliquait sur Twitter Adam Langley, expert de sécurité informatique chez Google.

• Quelle a été la réaction des sites touchés?

Les sites Internet concernés par la faille ont très vite réagi. Traumatisés par le scandale du programme de surveillance Prism, ils veulent se montrer irréprochables dans la défense des données de leurs utilisateurs. La plupart ont effectué la mise à jour de la librairie OpenSSL au début de la semaine, à la suite de la publication d’une nouvelle version du programme informatique corrigeant le bug. C’est le cas de Yahoo!. D’autres plateformes utilisant la librairie OpenSSL, a priori non concernées par Heartbleed, ont appliqué le principe de précaution en renforçant leurs défenses. «Nous n’avons pas détecté d’activités suspectes mais nous encourageons tout de même nos utilisateurs à changer de mot de passe», a ainsi Facebook.

«La plupart des gros sites sont sauvés de la faille grâce à leurs choix plutôt conservateurs en termes de sécurisation des échanges sur Internet», commente de son côté Codenomicon. Ces poids lourds de la high-tech ne recourent pas à OpenSSL ou n’en avaient pas déployé des versions récentes. Apple, Microsoft, Amazon ou eBay ont déclaré qu’ils n’étaient pas concernés par cette faille.

Des autorité se sont inquiétées des conséquences que pourraient avoir Heartbleed sur les sites bancaires, par lesquels transitent des données très sensibles. Le Federal Financial Institutions Examination Council (FFIEC, composé entre autres de membres de la Réserve Férérale américaine) a publié jeudi un communiqué mettant en garde les banques face à ces risques. «Les agresseurs pourraient potentiellement imiter les services bancaires, leurs utilisateurs, ou voler des identifiants, accéder à des emails sensibles ou infiltrer les réseaux internes des banques», a prévenu le conseil. Les plus grosses banques américaines, donc Bank of America ou Wells Fargo, ont déjà déclaré qu’elles n’étaient pas affectées par Heartbleed.

Contactée par Le Figaro, la Banque de France explique que des systèmes d’authentification développés en France sur les sites Internet des banques, notamment par SMS, «constituent un élément de sécurité important qui limite en pratique l’exploitation de la faille Heartbleed dans notre pays». «Il convient néanmoins d’appeler à la vigilance des internautes, notamment en cas de réception de courriels les incitant à modifier leurs identifiant et mot de passe, lesquels courriels pourraient constituer des tentatives de ‘’phishing »», indique la Banque de France.

Une faille très médiatique

Heartbleed est une vulnérabilité originale à bien des égards. La révélation publique de la faille a bénéficié d’un plan de communication redoutable. Un ingénieur de Codenomicon lui a trouvé un surnom, «cœur qui saigne», afin d’exprimer l’idée que des données pouvaient s’en échapper. Ce patronyme a l’avantage de se retenir plus facilement que son nom d’origine, «CVE-2014-0160», en référence à son identifiant dans la base de données des vulnérabilités. Un autre employé de Codenomicon a ensuite acheté le nom de domaine Heartbleed.com, vite habillé d’un logo produit par un designer de l’entreprise.

La stratégie, qui s’apparente à celle employée lors du lancement d’un produit, avait pour but de diffuser l’information le plus rapidement et largement possible. Le site Internet Heartbleed.com a été mis en ligne lundi 7 avril, réunissant près de 1,4 million de visiteurs uniques en moins de 48 heures. «Notre mission est de rendre l’Internet plus sûr», a expliqué David Chartier, PDG de Codenomicon, dans une interview accordée au site Vocativ. «Nous avons déclenché une véritable réponse de la communauté. C’est un beau travail d’équipe.»

• La NSA était au courant, selon l’agence Bloomberg

Les révélations sur Heartbleed interviennent près d’un an après les débuts de l’affaire Snowden, qui a déjà porté un coup dans la confiance que l’on peut avoir sur la sécurité des données sur Internet. Les documents révélés grâce à l’ancien contractuel de la NSA ont montré qu’il était possible d’intercepter largement des données à des fins de renseignement, y compris celles supposément protégées. Un débat est déjà lancé: Heartbleed provient-t-il réellement d’une erreur de programmation ou traduisait-il d’autres desseins? «Il n’y a aucun élément factuel prouvant que c’était volontaire. La grande question est maintenant de savoir si d’autres acteurs, comme des services d’État ou des cybercriminels avaient découvert cette faille ou la connaissaient», estime Thomas Gayet. Selon l’agence Bloomberg, la NSA était informée «depuis au moins deux ans» de l’existence de cette faille et a décidé de la garder secrète, afin de s’en servir pour récolter des informations sensibles.

Source : Le Figaro 11/04/2014

Voir aussi : Rubrique Internet, rubrique  Défense, rubrique Actualité Internationale,

Statistiques délinquance Hérault : La présentation des chiffres 2009 masque un certain embarras

Les vols à main armée en hausse de 33,7%

Unique femme sur les seize membres présents composant l’État major de la sécurité départemental, Guilaine Sévajol a dû se sentir un peu seule hier, à l’occasion de la présentation des chiffres 2009 de la délinquance départementale. La psychologue du commissariat de police de Montpellier intervient, hors cadre procédural, auprès de victimes en situation traumatique. Dans 60% des cas le soutien apporté fait suite à des violences faites aux femmes (21%) ou aux gardes à vue pour alcoolémie au volant (41%) .

A côté d’elle, sérieux comme des papes, les procureurs de la République de Montpellier et de Béziers et les responsables de la sécurité demeurent groupés autour du préfet Claude Baland. Période électorale oblige, la mise en avant de la politique de sécurité publique est un exercice incontournable et délicat où le consensus s’impose.

Malgré les priorités gouvernementales, la délinquance générale stagne (-0,13%) au niveau régional. Elle est réduite de 2,38% dans l’Hérault et progresse de 5,24% dans le Gard. Le bilan synthétique d’un peu plus d’une heure met l’accent sur une baisse de la délinquance de proximité (cambriolages, vols à la tire, destructions et dégradations diverses) de 2,23 % dans l’Hérault. On prend soin de s’attacher aux aspects positifs, comme le taux d’élucidation qui progresse de 7,21%, beaucoup plus qu’à leur réelle signification. On minimise en revanche l’augmentation des violences contre les personnes qui se poursuit (+3,44% après les 10,7% de 2008) liée, selon le chef de la sécurité publique, à des  » déclarations frauduleuses pour se faire rembourser un téléphone mobile.  » A noter l’évolution considérable des vols à mains armée (+33,73%) et des vols avec violence (+11,88%) dans lesquels le préfet voit sans rire une délinquance de substitution liée au progrès de l’industrie automobile en matière de sécurité contre le vol.

Reste la méthode, axe politique modulable à l’image des groupes de travail nommés par Brice Hortefeux où l’on passe indistinctement de commissions  » ordre, autorité, sécurité  » à  » construire un nouveau respect réciproque.  » « Il n’y a qu’une seule méthode, le 100 % respect réciproque », avait souligné il y a quatre mois le ministre de l’Intérieur, en présence de la secrétaire d’Etat à la Ville Fadela Amara avant que celle-ci ne revienne à l’assainissement au Karsher.

A deux semaines des élections professionnelles, des syndicats de police dénoncent pour leur part l’impasse de la politique du chiffre et celle du résultat aujourd’hui sur la sellette faute de résultat justement.

Jean-Marie Dinh

Voir aussi : Rubrique société les esclaves du capitalisme , rencontre avec  un superflic, Education nouvelle plainte des parents contre le fichier base élève, Justice droits de l’enfant en France, Affaire Villiers-le-Bel, Etude : la hausse de la délinquance des mineurs ne se confirme pas

Rester mesurés face à la menace du terrorisme

scanner-pro-visionSi la menace d’attentats est réelle, certaines réactions n’en restent pas moins controversées. La presse européenne estime que la sécurité absolue n’existe pas, et qu’il ne sert à rien de collecter des données ou de supprimer les droits des citoyens.Extraits des publications suivantes: Der Standard – Autriche, El Mundo – Espagne, New Statesman – Royaume-Uni

Der Standard – Autriche

Qu’apportent des mesures de sécurité renforcées comme les scanners corporels dans les aéroports, se demande Der Standard : « Même si l’on fait preuve de beaucoup de compréhension en faveur des mesures sécuritaires, il est intéressant de considérer les éléments dont ont été amputés nos droits personnels ces dernières années – et le mutisme croissant qui a gagné leurs défenseurs. En 1997, le flicage informatique et les mises sur écoute clandestines étaient encore considérés pratiquement comme des pratiques scandaleuses. Mais après les attentats du 11 septembre s’est progressivement imposée l’idée selon laquelle quelqu’un qui n’a rien à cacher n’a rien à craindre non plus. Qu’apporte cependant le renforcement des mesures de sécurité hormis d’absurdes collectes de données ? Dans le cas du terroriste nigérian intercepté : rien. Ses parents avaient prévenu les autorités, mais celles-ci cherchaient probablement une aiguille dans une botte de foin. » (08.01.2010)

El Mundo – Espagne

La sécurité absolue n’existe pas face au terrorisme, même si l’on supprime tous les droits des citoyens, estime le quotidien conservateur El Mundo : « Si le monde démocratique se transformait en Etat Big-Brother de type orwellien, ce serait une victoire des fondamentalistes musulmans. C’est aux citoyens d’accepter le fait que ni la sécurité absolue ni le risque zéro ne peuvent exister. C’est ce qu’a montré l’expérience très critiquée menée par la police slovaque il y a quelques jours. Celle-ci avait dissimulé secrètement des explosifs dans la valise d’un de ses compatriotes qui avait pris l’avion pour Dublin, sans que ceux-ci ne soient détectés par les nombreux contrôles. Les Etats-Unis comme les Etats de l’UE doivent renforcer leurs mesures en vue de réduire les risques. La seule chose dont on est sûr, c’est qu’elles resteront insuffisantes tant qu’Al-Qaida ne sera pas complètement vaincu. » (08.01.2010)


New Statesman – Royaume-Uni

La peur du terrorisme est irrationnelle et exagérée, estime Mehdi Hasan dans l’hebdomadaire New Statesman. Il serait préférable de garder la tête froide : « Il n’existe aucun scanner, aucune technologie, aucune mesure de sécurité qui nous protège complètement du terrorisme. Le problème du terrorisme ne peut pas non plus être résolu militairement. Ce dont nous avons besoin, c’est de patience, de persévérance et d’un sens de la perspective historique. Lors de mes rencontres avec les ministres et les fonctionnaires [dans le quartier du gouvernement] à Whiteall, je vois souvent des affiches de la Seconde Guerre mondiale derrière les portes, portant la devise : ‘Keep calm and carry on’ [Rester calme et continuer]. Nos dirigeants devraient se montrer suffisamment sages pour suivre ce conseil, peut-être même l’adopter comme résolution de nouvel an. Rester calme. Continuer. » (08.01.2010)

Craintes d’Amnesty International France sur le projet de loi relatif au Défenseur des droits

Après un premier examen du projet de loi, AIF s’inquiète de certaines dispositions qui vont à l’encontre d’une véritable indépendance de sa mission et d’une réelle transparence de son fonctionnement concernant notamment le traitement des réclamations relatives à la déontologie de la sécurité. La saisine du Défenseur est annoncée comme directe mais, telle qu’elle est notamment présentée dans les articles 6, 8, 11 et 20, elle fait l’objet de mesures restrictives. 

En matière de déontologie et de sécurité, la collégialité actuelle des 14 membres de la CNDS venant d’horizons divers serait remplacée par une simple « consultation » par le Défenseur de trois personnalités avec un risque en termes d’indépendance si ces personnes sont nommées en raison de leurs compétences « dans le domaine de la sécurité » par le Président de la République et les présidents de l’Assemblée nationale et du Sénat (article 11). 

Dans certains cas, la saisine du Défenseur serait subordonnée à l’accomplissement de démarches « préalables » auprès des personnes publiques ou organismes mis en cause (article 6) et, en cas de saisine par une tierce personne, son intervention serait conditionnée par l’accord express de la personne concernée (article 8). En outre, le Défenseur apprécierait « souverainement » si les faits signalés « méritent » une intervention de sa part et il ne serait pas tenu de motiver sa décision de classement de la demande (article 20). 

Ces dispositions sont contraires aux recommandations déjà formulées par AI en faveur du renforcement des pouvoirs et attributions de la CNDS à l’occasion de cette fusion avec le Défenseur et du maintien de son indépendance, seule garante d’un traitement impartial et exhaustif des réclamations qui mettent en cause des organes chargés du maintien de l’ordre public. 

Informations complémentaires 
En février 2009, AIF s’était adressée à Madame Rachida Dati et lui avait adressé le rapport « France – la Commission nationale de déontologie de la sécurité (CNDS) et le Défenseur des droits » en lui faisant part de sa crainte que les attributions spécifiques de la CNDS ne soient remises en cause ou diluées à cette occasion. 

AIF formulait alors des recommandations allant dans le sens d’un renforcement des pouvoirs de contrôle et d’enquête du Défenseur des droits qui se retrouvera en charge du respect de la déontologie par les personnes exerçant des activités de sécurité. AIF demandait notamment des garanties en termes d’indépendance, de pouvoirs, et de moyens humains et financiers, pour que sa mission soit efficace. 

AIF demandait que la fusion de la CNDS dans une autre structure n’entraîne pas pour cette activité une perte de spécialisation et de compétence, la diminution des moyens qui sont actuellement affectés à la CNDS et même la réduction de ses capacités, ce qui aurait des répercussions négatives sur le contrôle indépendant efficace des organes chargés du maintien de l’ordre public. 

De plus, AIF demandait que la réforme en cours soit l’occasion de mettre en conformité avec les normes internationales les dispositions relatives à l’examen des allégations de violations des droits humains par des agents de la force publique. Au lieu de se limiter à investir le Défenseur des droits du mandat et des pouvoirs dont dispose actuellement la CNDS, il s’agirait d’étendre leur portée afin de remédier aux faiblesses qui ont pesé sur le travail de cet organe. 

Enfin, AIF rappelait que, pour être efficace, l’organe chargé d’examiner les réclamations concernant des faits commis par des responsables de l’application des lois doit être habilité à examiner toutes les allégations de violations des droits humains, voire à se substituer dans certaines affaires aux mécanismes de surveillance internes des services concernés. Cet organe doit être habilité à ordonner l’ouverture d’une procédure disciplinaire et, lorsqu’il l’estime opportun, à saisir directement le ministère public afin de déclencher l’ouverture de poursuites judiciaires. Pour s’acquitter de son mandat avec efficacité, il doit disposer d’un personnel et d’un financement suffisants, être connu du grand public et pouvoir être saisi directement par les particuliers. 

Communiqué de presse d’Amnesty International France
Paris, le 10 septembre 2009

Patrick Chaudet « L’efficacité passe par l’équilibre »

patrick-chaudetEntretien avec Patrick Chaudet. Le nouveau directeur départemental de la sécurité publique qui vient d’être nommé entend redresser l’image de marque du commissariat de Montpellier.

Dans quel état d’esprit appréhendez-vous le cadre de vos nouvelles fonctions ?

Je suis assez serein, parce que je trouve une situation correspondant à ce que j’imaginais. Joël Guenot que je connais bien, m’en a souvent parlée. Elle est plutôt favorable.

Avez-vous des priorités face à la diversité des missions qui sont les vôtres ?

Il y en a deux, qui sont la lutte contre la petite et moyenne délinquance et la lutte contre l’insécurité routière qu’il faut maintenir dans le département. La priorité, c’est aussi que la police soit réactive par rapport aux événements, comme à l’égard d’elle-même. Il est important que l’image de marque du commissariat soit bonne pour les partenaires qui travaillent avec nous, parce que le problème de la sécurité ne relève pas seulement de la police, c’est l’affaire de tous.

Comme au niveau national, la situation se caractérise par une réduction des délits de voie publique, mais une hausse des violences faites aux personnes ?

C’est vrai que statistiquement ces infractions augmentent, mais il faut comprendre que le législateur a augmenté le nombre d’incriminations dans ce domaine. Ce qui fait que l’on a une vision un peu déformée du nombre de faits concernés. Autrefois, les coups et blessures volontaires étaient poursuivis lorsqu’il y avait une incapacité de travail supérieure à huit jours. Pour protéger la sphère familiale, le législateur a considéré que les cas de violence étaient des délits. Donc, fatalement, ces infractions augmentent artificiellement les statistiques. S’agissant des vols avec violence, je note qu’ils n’ont globalement pas augmenté depuis cinq ans. Mais rien n’est jamais vraiment acquis.

Quel est l’équilibre à trouver  entre le répressif et le préventif ?

L’équilibre, c’est d’abord la dissuasion, c’est-à-dire une présence policière visible. C’est aussi établir une bonne complémentarité entre les services de l’Etat et les services locaux. Ce qui implique des diagnostics pertinents sur la délinquance et permet d’impliquer tout le monde. Dissocier la prévention de la répression est une erreur.

Faut-il renforcer la présence policière dans les quartiers sensibles ? Doit-on avoir recours à un personnel plus expérimentés ?

Les gens plus expérimentés, on les voudrait partout, mais il faut faire avec les moyens que l’on a. Avec le mouvement massif de départ à la retraite, on est dans une période de rajeunissement de nos effectifs. Il ne doit pas y avoir de zone de non-droit. Les quartiers ne doivent ni être abandonnés, ni surfliqués. Je pense qu’à Montpellier, les choses sont assez équilibrées.

Quelle place tient le rôle de l’orientation politique en matière de sécurité ?

La sécurité ne relève pas seulement d’une fonction politique, même si elle reste une fonction régalienne de l’Etat. Dans la loi sur la prévention de la délinquance, le maire dispose désormais d’un rôle très important. Mais c’est aussi l’affaire des associations d’aide aux victimes qui sont impliquées notamment dans l’accueil des personnes victimes de violence. Le politique donne les moyens et les orientations, mais la sécurité implique aussi les citoyens qui doivent faire preuve de vigilance et de solidarité.

Après Outreau, on vient de voir paraître le décret d’application qui supprime le critère protéiforme de trouble à l’ordre public. Qu’est ce que cela vous inspire ?

Selon ma conviction personnelle, je pense que ce n’est pas une bonne mesure. Surtout pour les infractions graves. Prenons un exemple : quelqu’un en état d’ivresse tue quelqu’un. Si une information est ouverte, sans le recours au trouble à l’ordre public, cette personne sera remise tout de suite sous contrôle judiciaire et peu recommencer demain. Je crois que cela va handicaper les magistrats dans leurs actions.

Comment développer la capacité d’anticipation des services de police marqués par une culture de réaction ?

Certains idéologues considèrent que la police est réactive mais pas proactive. Pour moi, c’est un faux problème. Proactif, cela veut dire que l’on anticipe les problèmes. C’est sûr qu’on dispose d’un bon contact avec la population qui nous permet de savoir si des tensions sont en train de naître. C’est le rôle des renseignements généraux de jouer les météorologues de la sécurité et de la situation sociale. Dès lors que la police est présente et efficace sur l’ensemble d’un territoire, cela lui permet de mesurer les degrés de tension. La police est à la fois réactive et proactive.

Vous avez déclaré que la police ne doit pas être critiquable. Avez-vous fait des recommandations dans ce sens au service de la BAC souvent mis en cause ?

Toute action de police peu à un moment ou à un autre être mis en cause sur ses méthodes ou sur son action. Je veillerais à ce que les principes de déontologie soient respectés et que les principes d’action soient dans le droit. Il n’est pas acceptable que des violences ne soit pas légitimes, même s’il y a aussi parfois des réactions disproportionnées par rapport à l’événement. Je ne veux pas que, sous le prétexte de l’efficacité, on se permette des dérives. Et ça, j’y veillerais.

Recueilli par Jean-Marie Dinh

Voir aussi : Rubrique société statistiques de la délinquance dans l’Hérault, hausse de la violence des jeunes en question, Affaires Affaire Villiers-le-Bel,