Heartbleed : un an après, trop d’entreprises encore affectées
Une étude réalisée par Venafi montre que les trois quarts des 2000 plus grandes multinationales disposant de systèmes accessibles en ligne sont encore affectées par la vulnérabilité Heartbleed.
Le constat de Venafi est sans appel : un an après la découverte de la vulnérabilité Heartbleed, « 74 % des 2000 plus grandes multinationales avec des systèmes accessibles au public sont encore vulnérables ». Pire : il ne s’agit que de deux petits points d’amélioration en 8 mois. Dès lors, « il est encore nécessaire d’agir pour remplacer les clés privées affectées ».
Venafi n’est hélas pas le premier, ni le seul, à tirer la sonnette d’alarme. IBM notamment l’a fait avant lui. Fin août dernier, IBM a relevé que les pare-feu, mais aussi les systèmes de détection et de prévention des intrusions ont été d’un grand secours aux grandes entreprises.
Ainsi, alors que le groupe a relevé jusqu’à plus de 300 000 attaques par jour exploitant Heartbleed le 15 avril 2014, le chiffre est rapidement retombé, à quelques centaines d’incidents par jour à la fin du mois d’avril dernier. Mais pour IBM, environ « 50 % des serveurs potentiellement vulnérables ont été laissés sans correctif », de quoi faire de la vulnérabilité « une menace continue et critiques ».
Un impact très étendu
Ce bug a laissé une grande quantité de clés privées et d’autres secrets exposés sur Internet
Et Heartbleed ne concerne pas que des serveurs Web à la criticité limitée. Fin juillet dernier, le Cert US alertait sur la vulnérabilité de certains systèmes de contrôle industriel. Des Scada pour lesquels Siemens a produit rapidement des recommandations, avant de proposer des mises à jour. Mais encore faut-il que celles-ci soient déployées.
Mais très vite, courant avril 2014, la plupart des grands industriels de l’IT se sont lancés dans la production et la distribution de correctifs pour certains de leurs logiciels, bien au-delà des seuls services ouverts au grand public. Début juin dernier, un chercheur soulignait que Heartbleed pouvait être exploité pour compromettre des clients ou serveurs vulnérables sur les réseaux Wi-Fi d’entreprises.
Pour mémoire, Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL avec, à la clé, le risque de compromission des clés secrètes utilisées pour identifier les fournisseurs de services et pour chiffrer le trafic, des identifiants des utilisateurs, et le contenu transitant sur les liens chiffrés. C’est un bug dans l’implémentation de l’extension heartbeat des protocoles TLS/DTLS, au sein d’OpenSSL, qui est à l’origine de la vulnérabilité.
Le risque d’attaques ne laissant aucune trace doit être pris au sérieux
Les chercheurs qui l’ont découverte - trois travaillant pour Codenomicon et un pour Google Security – soulignaient l’an passé que « ce bug a laissé une grande quantité de clés privées et d’autres secrets exposés sur Internet. Compte tenu de la longue durée de l’exposition et de la simplicité d’exploitation, le risque d’attaques ne laissant aucune trace doit être pris au sérieux. »
Une vulnérabilité difficile à corriger pleinement
Surtout, combler les brèches ouvertes par ce bug peut s’avérer laborieux : « il faut appliquer le correctif, révoquer les clés compromises, et ré-émettre et redistribuer de nouvelles clés. […] Tout cela doit être fait par les fournisseurs de services. » Et malgré tout, le trafic précédemment intercepté restera menacé…
Selon Venafi, seules 419 des 2000 plus grandes multinationales ont effectivement remédié à la vulnérabilité de manière complète, pour leurs services accessibles au public. En tout, ce serait rien moins que 580 000 hôtes dépendant de multinationales du classement Gobal 2000 qui seraient encore affectés, soit parce que la clé privé n’a pas été remplacée, soit parce que l’ancien certificat n’a pas été révoqué.
Dans ce paysage, la France fait figure de cancre : seulement 22 % des multinationales du Global 2000 présentes dans l’Hexagone ont complètement remédié à la vulnérabilité. Outre-Rhin, la part de bons élèves monte à 42 %, contre 33 % au Royaume-Uni et 41 % aux Etats-Unis.
Compromis à son insu ?
Mais le problème est peut-être bien plus étendu que certains ne l’imaginent. De manière générale, un attaquant ayant compromis un premier système cherche à étendre discrètement sans présence dans l’organisation concernée. Et, justement, pour Venafi, « depuis l’an dernier, il y a eu une progression significative du nombre de VPN détournés utilisés pour maintenir l’accès à l’environnement de la victime ». Dès lors, pour le spécialiste, « une infiltration étendue des réseaux signifie que les clés SSL et les certificats, ainsi que les clés SSH, même ne fonctionnant pas avec une version vulnérable d’OpenSSL, devraient être considérés comme des cibles compromises ».
Et c’est sans compter avec « des centaines d’applications qui fonctionnent derrière le pare-feu et restent vulnérables à Heartbleed ». Et là, c’est hélas l’opacité qui règne en maître, avec « très peu d’information disponible sur l’état de remédiation de ces systèmes ». Mais pour Venafi, l’état de ces systèmes « n’est probablement pas meilleur que celui des systèmes ouverts au public, et pourrait être pire ». Ce que l’on est aisément tenté d’imaginer.