Heartbleed menace les réseaux Wi-Fi d’entreprise
Un chercheur vient de présenter des pistes d’exploitation de la vulnérabilité heartbleed d’OpenSSL constituant un risque pour les réseaux sans fil d’entreprise et les terminaux qui s’y connectent.
Dévoilée en avril, la vulnérabilité Heartbleed affectant la librairie de chiffrement OpenSSL est susceptible d’être exploitée pour exposer jusqu’à 64 Ko de mémoire vive d’un serveur ou d’un client vulnérable : clés de certificats, identifiants, communications chiffrées, etc.
Le chercheur Luis Grangeia, du cabinet de conseil en sécurité Sysvalue, a trouvé de nouvelles façons d’exploiter Heartbleed. Dans un billet de blog, il détaille un prototype, baptisé Cupid, qui expose les connexions établies avec le protocole EAP, sur lien TLS. Selon lui, tous les mécanismes EAP reposant sur TLS sont potentiellement affectés : EAP-PEAP, EAP-TLS, et EAP-TTLS. Et le chercheur d’indiquer que Cupid, appliqué sous la forme de patches logiciels disponibles sur GitHub, peut être exploité tant en visant les clients que les serveurs TLS, de la même manière que la faille Heartbleed. Et pour fonctionner, Cupid ne requiert pas de connaissance de l’identifiant de l’utilisateur, ni même de l’établissement complet du lien TLS : « pour exploiter des clients vulnérables, hostapd [avec le patch Cupid] peut être utilisé pour créer un réseau malicieux. Le démon logiciel lancera alors des requêtes heartbeat à chaque client tentant de s’y connecter en demandant une connexion TLS, déclenchant la vulnérabilité. » Côté serveur, un second patch permet de déclencher la vulnérabilité en lançant une requête heartbeat juste après l’établissement de la connexion TLS.
Grangeia reconnaît que des tests approfondis sont nécessaires pour savoir exactement quelles données d’un système vulnérable sont susceptibles d’être exposées. Mais il estime que la clé privée utilisée pour la connexion TLS et les identifiants des utilisateurs sont probablement menacés.
Les déploiements par défaut de wpa_supplicant, hostapd et freeradius sur Ubuntu, avec une version vulnérable d’OpenSSL, sont concernés. Les terminaux Android 4.1 et 4.1.1 non patchés le sont également. Les routeurs domestiques n’utilisant pas EAP ne sont pas concernés. Mais Grangeia appelle à la prudence les administrateurs de réseaux sans fil d’entreprise : « la plupart des solutions sans fil administrées utilisent des mécanismes d’authentification basés sur EAP. Et certains équipementiers utilisent OpenSSL. » Et de recommander aux administrateurs de se rapprocher de leurs fournisseurs, tout en soulignant que certains réseaux filaires dont l’accès est contrôlé par 802.1x sont également susceptibles d’être concernés.
Kevin Bocek, vice-président de Venafi, confirme les craintes de Grangeia, soulignant que Cupid « est peut-être la première variante du bug Heartbleed, mais ce ne sera pas la dernière ».
Adapté de l’anglais par la rédaction.