La vulnérabilité Heartbleed n’est pas entièrement réglée
Plus d’un moins après sa découverte, la vulnérabilité Heartbleed affectant la librairie de chiffrement OpenSSL, traîne encore sur des centaines de milliers de serveurs - et d’autres endroits peu évidents - en raison d’une réaction de l’industrie manquant de consistence.
Le bug Heartbleed a été initialement inséré par erreur dans le code de la librairie de chiffrement OpenSSL en décembre 2011, avant d’être découvert début avril. Cette vulnérabilité entraîne un risque d’exposition des données sensibles stockées dans des millions de serveurs et de postes clients. Et malgré l’absence de preuve de son exploitation avant sa découverte, il est désormais sûr qu’elle a été exploitée depuis lors.
Et la vulnérabilité reste largement répandue, malgré les efforts de l’industrie de la sécurité pour en expliquer les dangers. Dans un billet de blog daté de début mai, Robert Graham, Pdg d’Errata Security, expliquait ainsi avoir trouvé plus de 300 000 systèmes connectés à Internet encore vulnérables. C’est moins que les 600 000 trouvés un mois plus tôt, mais cela reste conséquent. Et encore, Graham s’est contenté d’examiner le port 443 utilisé pour le protocole HTTPS, faisant ainsi l’impasse sur d’autres.
Certains services pourraient même avoir temporairement interrompu le support de SSL plutôt que d’appliquer des correctifs, ou encore adapté la configuration de leurs protections réseau : « les chiffres sont un peu étranges. Le mois dernier, j’ai trouvé 28 millions de systèmes supportant SSL. Mais ce mois-ci, je n’en ai trouvé que 22 millions. Je suspecte leurs administrateurs d’avoir détecté mes analyses et d’avoir automatiquement protéger leurs systèmes avec leurs pare-feu avant que les analyses ne soient terminées. Ou alors, une congestion réseau chez mon fournisseur d’accès à Internet a réduit artificiellement les nombres. »
Etonnamment, même dans les cas où les entreprises et les utilisateurs prennent les mesures nécessaires pour contenir le risque associé à Heartbleed, certains erreurs rudimentaires ont lieu. La semaine passée, Netcraft a publié une découverte suggérant que seuls 14 % des sites Web affectés par la vulnérabilité ont suivi l’intégralité du processus de correction, à savoir remplacer leurs certificats SSL, révoquer les anciens, et changer de clé privé pour émettre les nouveaux.
Selon Netcraft, 57 % des sites affectés n’ont même pas réagi à la vulnérabilité. Et 21 % ont émis de nouveaux certificats avec de nouvelles clés, mais sans révoquer les anciens certificats. Enfin, 5 % des sites affectés n’ont pas utilisé de nouvelle clé pour leurs nouveaux certificats - une erreur majeure commise notamment avec certains sites Web gouvernementaux au Canada, ou encore celui de la Quebec Automobile Insurance Corporation, pourtant l’une des rares victimes connues de la vulnérabilité…
Mais la vulnérabilité Heartbleed affecte bien plus que des sites Web, dont des systèmes de commande et de contrôle industriels informatisés, les célèbres Scada. L’ICS-CERT, le Cert de ce secteur, a ainsi récemment souligné qu’Heartbleed continue d’affecter 5 produits commercialisés par Digi International. Schneider Electric a quant à lui alerté ses clients des risques posés par certains composants tiers.
Reste la question des utilisateurs finaux. Selon un sondage en ligne réalisé par LifeLock aux Etats-Unis, près de la moitié des internautes étant au courant de la vulnérabilité Heartbleed n’ont pas encore changé leurs mots de passe : 44 % d’entre eux ne s’estiment pas concernés, et 12 % estiment le processus trop fastidieux…
Adapté de l’anglais par la rédaction