Le contre-coup des correctifs à Heartbleed : un web plus lent ?
La révocation massive de certificats entrainée par la faille HeartBleed pourrait se traduire par un fort ralentissement de la navigation web, selon plusieurs experts en sécurité.
Les efforts simultanés des entreprises pour corriger des centaines de milliers de sites Web affectés par la vulnérabilité Heartbleed d’OpenSSL pourraient causer des dysfonctionnements majeurs d’Internet au cours des prochaines semaines, selon le Washington Post.
Le correctif le plus évident à la vulnérabilité consiste à déployer la plus récente version d’OpenSSL. Mais ce n’est pas suffisant : Heartbleed peut avoir permis à des attaquants de dérober des clés de chiffrement. Ce qui signifie que les sites Web mis à jour sont susceptibles de rester vulnérables à moins qu’ils ne révoquent leurs certificats SSL avant d’en émettre de nouveaux. De fait, les clés de chiffrement associées à ces certificats pourraient avoir été dérobées, à n’importe quel moment, au cours des deux dernières années. Soit depuis l’introduction de la vulnérabilité, en décembre 2011.
Les attaquants ayant profité de Heartbleed, après son introduction involontaire dans le code d’OpenSSL, pour dérober les clés privées de serveurs sont encore en mesure, après l’application de la mise à jour, d’usurper l’identité des serveurs concernés en produisant des certificats SSL frauduleux mais en apparence parfaitement valides. Comme le relève Netcraft, « à moins de révoquer le certificat, le site concerné reste vulnérable aux attaques de type man-in-the-middle. »
Mais avec environ 500 000 sites Web considérés comme ayant utilisé des versions vulnérables d’OpenSSL, le processus de révocation et de rémission des certificats de sécurité pourrait ralentir considérable l’accès à Internet, tel que perçu par les utilisateurs finaux. De fait, lorsqu’un navigateur visite un site Web sécurisé, il télécharge une liste de certificats révoqués. Ce qui n’a qu’un impact limité dans le cas d’une liste courte. Mais avec des centaines de milliers de sites susceptibles de révoquer leurs certificats au cours des prochaines semaines, les navigateurs risquent d’être confrontés au téléchargement de listes particulièrement longues. De quoi potentiellement ralentir la navigation de manière considérable. Selon Netcraft, si une autorité de certification doit révoquer 10 000 certificats, la liste de révocation va comporter rien moins que 10 000 certificats. Soit un téléchargement de quelques centaines de méga-octets.
Heureusement, les sites Web les plus critiques, comme ceux de banques ou de gouvernements, n’ont été que marginalement vulnérables au bug Heartbleed. Et ceux qui ont été concernés ont déjà finalisé le processus correctif. Mais pour l’instant, seulement 80 000 certificats ont été révoqués, selon Netcraft. Ce qui signifie que 420 000 sont encore susceptibles de l’être.
La révocation de certificats a toujours été un goulot d’étranglement depuis l’invention de SSL, selon Mark Manulis, enseignant du département d’informatique de l’université du Surrey, outre-Manche. Et si Heartbleed induit des révocations à grande échelle, cela risque de causer de sérieux problèmes, a-t-il indiqué à la BBC, soulignant que tous les navigateurs ne vont pas télécharger les listes en même temps et que cela passera potentiellement par la sollicitation de centaines d’autorités de certification. « Chaque navigateur Web devra contacter chacune de ces autorités et télécharger ces listes qui ne sont pas partagées, » explique Manulis. D’importants pics de trafic en perspective…
Adapté par la rédaction depuis d'un article rédigé par notre collègue anglais Warwick Ashford (ComputerWeekly).