Heartbleed : une menace qui va bien au-delà des services grand public
Si les services destinés au grand public semblent en première ligne face à la menace que représente la faille Heartbleed d’OpenSSL, les infrastructures des entreprises ne sont pas épargnées.
Révélée en début de semaine, la faille dite Heartbleed menace tous les utilisateurs d’OpenSSL. Les éditeurs de services en ligne destinés au grand public apparaissent comme les premiers concernés. Nombre d’entre eux ont d’ailleurs rapidement réagi, appliquant les mises à jour recommandées et, pour certains, conseillant directement à leurs utilisateurs de changer leurs mots de passe. Mais les infrastructures des entreprises sont également concernées. Chacun peut tester la vulnérabilité d’un service en ligne avec un outil tel que celui-ci. Les banques françaises, notamment, ne semblent pas affectées.
Des infrastructures vulnérables
C’est donc sans surprise que Microsoft s’est rapidement fendu d’un billet de blog pour expliquer que « les configurations par défaut de Windows n’incluent pas OpenSSL » et ne sont donc pas concernées. Oracle a également précisé que Solaris n’est pas à priori concerné, si tant est que les librairies fournies par défaut n’ont pas été remplacées. Chez SAP, Netweaver et HANA ne semblent pas plus concernés. Côté services SaaS, Salesforce affirme que ses infrastructures ne sont pas affectées. Cloud SQL, de Google, l’est en revanche et le géant du Web assure déployer un correctif.
L’ombre de la NSA
La vulnérabilité Heartbleed a été introduite par un développeur allemand, Robin Seggelmann. Celui-ci vient d’assurer au Sydney Morning Herald l’avoir fait de manière non intentionnelle. Toutefois, selon Bloomberg, les ingénieurs de la NSA avaient repéré une vulnérabilité affectant non seulement des composants d’infrastructure mais également certains postes clients. Ils auraient toutefois préféré l’exploiter à des fins d’écoute plutôt que d’alerter la communauté. Dans un communiqué, la NSA dément les affirmations de nos confrères et assure avoir découvert la vulnérabilité Heartbleed en même temps que le reste du monde.IBM a de son côté indiqué travailler à l’examen approfondi de ses produits. L’un d’entre eux, Endpoint Manager 9.1.1065 est vulnérable ; le groupe prépare un correctif. Chez VMware, la situation n’est guère rassurante pour l’instant: pas moins de 15 produits - dont certains sous différentes versions - sont concernés. Les équipes d’ingénierie et de sécurité de l’éditeur travaillent à des mises à jour. Chez Citrix, XenMobile App Controller est vulnérable. L’éditeur précise continuer d’analyser l’ensemble de son offre. Chez EMC, l’application InsightIQ 3.0 pourrait être vulnérable, mais l’application de la mise à jour d’OpenSSL règle la situation. Des équipements signés Cisco et Juniper Networks sont également affectés. Symantec indique pour sa part que certains de ses produits sont affectés, sans préciser lesquels. Et de préciser proposer le renouvellement gratuit des certificats pour ses clients concernés.
Se protéger et faire mieux
Certains services en ligne de protection de sites Web protègent contre l’exploitation de la vulnérabilité Heartbleed, à commencer par CloudProxy de Sucuri. Mais certaines voix - à commencer par celle de l’Electronic Frontier Foundation - s’élèvent déjà pour appeler à faire mieux et profiter de Heartbleed pour améliorer la sécurité des services en ligne en implémentant PFS (Perfect Forward Secrecy), ainsi même que l’authentification à double facteur. F-Secure compte parmi ces voix. Qualys détaille comment mettre en oeuvre PFS sur Apache et Nginx.
Les chercheurs à l’origine de la découverte de Heartbleed recommandaient déjà, lors de son annonce, de configurer les systèmes de détection et de prévention d’intrusion pour détecter et empêcher les tentatives d’exploitation de la vulnérabilité. HP indique proposer aux clients de ses appliances TippingPoint un filtre ad-hoc.