Une
Heartbleed, c’est quoi?
Il s’agit d’une faille qui frappe le cœur de la sécurisation des échanges sur Internet. Le protocole Transport Layer Security (TLS) garantit que des données échangées entre le navigateur et un site Web ne pourront pas être facilement lisibles par des pirates, car chiffrées. Les navigateurs Internet signalent ces connexions sécurisées par une petite icône de cadenas, tandis que les adresses des sites passent de «http» à «https».
L’une des implémentations gratuite de ce protocole parmi les plus populaires, OpenSSL, a été victime d’une erreur de programmation. Alors qu’il pensait améliorer cette librairie, un développeur allemand, Robin Seggelmann, a introduit une vulnérabilité dans le code d’OpenSSL en décembre 2011. La version défectueuse a été diffusée à partir de mars 2012. À partir de cette version, tous les serveurs Web recourant à OpenSSL pour sécuriser leurs échanges laissaient en fait sans le savoir leurs portes grandes ouvertes.
La vulnérabilité est localisée dans une fonction, appelée Heartbeat, qui permet de maintenir la connexion sécurisée entre le navigateur et le serveur Web. À cause de l’erreur de Robin Seggelmann, un pirate peut mentir sur le poids de la requête et obtenir en retour des données qui ne lui étaient pas destinées. Il peut ainsi récolter des informations transmises par d’autres utilisateurs lors de requêtes précédentes, encore stockées dans la mémoire temporaire des serveurs vulnérables: des identifiants et mots de passe, des cookies de sessions et peut-être des clés de chiffrement.
• Quels sont les sites touchés par la vulnérabilité Heartbleed?
La faille concerne tous les serveurs Web utilisant les versions d’OpenSSL publiées entre mars 2012 et avril 2014, rendant vulnérables tous les sites qu’ils hébergent et menaçant donc les informations de leurs utilisateurs. Les estimations vont d’un tiers à deux tiers des serveurs Web en fonctionnement dans le monde, dont des réseaux sociaux, des sites bancaires ou d’e-commerce. La société Netcraft, spécialisée dans la sécurité informatique, dénombre plus de 500.000 sites qui touchés par la faille Heartbleed. Parmi les victimes les plus illustres figurent Yahoo! et Imgur, fréquentés par des millions d’internautes.
La faille ne touche pas seulement des serveurs Web. La librairie OpenSSL est implémentée dans des équipements de réseau, comme des routeurs Cisco.
Quelles informations sont menacées?
L’erreur de programmation a été découverte début décembre 2013, à quelques jours d’intervalle par deux équipes, l’une de Google, l’autre d’une société finlandaise, Condominium. Leur trouvaille a été tenue secrète jusqu’au mardi 8 avril dans la matinée, pour laisser le temps de développer des correctifs, sans alerter des utilisateurs malintentionnés.
Il est compliqué de savoir si cette vulnérabilité a été un jour exploitée, car les attaques exploitant Heartbleed ne laissent théoriquement pas de trace. Un cas suspect, datant de novembre 2013, n’a pas encore été corroboré. L’Electronic Frontier Foundation, une organisation qui milite pour les libertés sur Internet, a lancé une grande chasse sur Internet pour tenter de retrouver des preuves d’exploitation de Heartbleed. «Si on démontre qu’il y a eu une exploitation avant le 8 avril, on sera dans le scénario du pire», commente Thomas Gayet, directeur stratégie en cybersécurité au sein du cabinet Lexsi.
Rien qu’en récoltant des identifiants et des mots de passe, il est possible de se connecter aux services de messagerie, à des sites bancaires ou des réseaux sociaux. «Heartbleed permet aux agresseurs d’espionner les conversations, de voler des données directement à leur source et de se faire passer pour un service ou un utilisateur en particulier», prévient Codenomicon. Ce dernier point fait débat. «En testant la faille je n’ai pas réussi à obtenir d’informations clés des serveurs, juste des historiques de connexion et des cookies», expliquait sur Twitter Adam Langley, expert de sécurité informatique chez Google.
• Quelle a été la réaction des sites touchés?
Les sites Internet concernés par la faille ont très vite réagi. Traumatisés par le scandale du programme de surveillance Prism, ils veulent se montrer irréprochables dans la défense des données de leurs utilisateurs. La plupart ont effectué la mise à jour de la librairie OpenSSL au début de la semaine, à la suite de la publication d’une nouvelle version du programme informatique corrigeant le bug. C’est le cas de Yahoo!. D’autres plateformes utilisant la librairie OpenSSL, a priori non concernées par Heartbleed, ont appliqué le principe de précaution en renforçant leurs défenses. «Nous n’avons pas détecté d’activités suspectes mais nous encourageons tout de même nos utilisateurs à changer de mot de passe», a ainsi Facebook.
«La plupart des gros sites sont sauvés de la faille grâce à leurs choix plutôt conservateurs en termes de sécurisation des échanges sur Internet», commente de son côté Codenomicon. Ces poids lourds de la high-tech ne recourent pas à OpenSSL ou n’en avaient pas déployé des versions récentes. Apple, Microsoft, Amazon ou eBay ont déclaré qu’ils n’étaient pas concernés par cette faille.
Des autorité se sont inquiétées des conséquences que pourraient avoir Heartbleed sur les sites bancaires, par lesquels transitent des données très sensibles. Le Federal Financial Institutions Examination Council (FFIEC, composé entre autres de membres de la Réserve Férérale américaine) a publié jeudi un communiqué mettant en garde les banques face à ces risques. «Les agresseurs pourraient potentiellement imiter les services bancaires, leurs utilisateurs, ou voler des identifiants, accéder à des emails sensibles ou infiltrer les réseaux internes des banques», a prévenu le conseil. Les plus grosses banques américaines, donc Bank of America ou Wells Fargo, ont déjà déclaré qu’elles n’étaient pas affectées par Heartbleed.
Contactée par Le Figaro, la Banque de France explique que des systèmes d’authentification développés en France sur les sites Internet des banques, notamment par SMS, «constituent un élément de sécurité important qui limite en pratique l’exploitation de la faille Heartbleed dans notre pays». «Il convient néanmoins d’appeler à la vigilance des internautes, notamment en cas de réception de courriels les incitant à modifier leurs identifiant et mot de passe, lesquels courriels pourraient constituer des tentatives de ‘’phishing »», indique la Banque de France.
Une faille très médiatique
Heartbleed est une vulnérabilité originale à bien des égards. La révélation publique de la faille a bénéficié d’un plan de communication redoutable. Un ingénieur de Codenomicon lui a trouvé un surnom, «cœur qui saigne», afin d’exprimer l’idée que des données pouvaient s’en échapper. Ce patronyme a l’avantage de se retenir plus facilement que son nom d’origine, «CVE-2014-0160», en référence à son identifiant dans la base de données des vulnérabilités. Un autre employé de Codenomicon a ensuite acheté le nom de domaine Heartbleed.com, vite habillé d’un logo produit par un designer de l’entreprise.
La stratégie, qui s’apparente à celle employée lors du lancement d’un produit, avait pour but de diffuser l’information le plus rapidement et largement possible. Le site Internet Heartbleed.com a été mis en ligne lundi 7 avril, réunissant près de 1,4 million de visiteurs uniques en moins de 48 heures. «Notre mission est de rendre l’Internet plus sûr», a expliqué David Chartier, PDG de Codenomicon, dans une interview accordée au site Vocativ. «Nous avons déclenché une véritable réponse de la communauté. C’est un beau travail d’équipe.»
• La NSA était au courant, selon l’agence Bloomberg
Les révélations sur Heartbleed interviennent près d’un an après les débuts de l’affaire Snowden, qui a déjà porté un coup dans la confiance que l’on peut avoir sur la sécurité des données sur Internet. Les documents révélés grâce à l’ancien contractuel de la NSA ont montré qu’il était possible d’intercepter largement des données à des fins de renseignement, y compris celles supposément protégées. Un débat est déjà lancé: Heartbleed provient-t-il réellement d’une erreur de programmation ou traduisait-il d’autres desseins? «Il n’y a aucun élément factuel prouvant que c’était volontaire. La grande question est maintenant de savoir si d’autres acteurs, comme des services d’État ou des cybercriminels avaient découvert cette faille ou la connaissaient», estime Thomas Gayet. Selon l’agence Bloomberg, la NSA était informée «depuis au moins deux ans» de l’existence de cette faille et a décidé de la garder secrète, afin de s’en servir pour récolter des informations sensibles.
Source : Le Figaro 11/04/2014
Voir aussi : Rubrique Internet, rubrique Défense, rubrique Actualité Internationale,