Vulnérabilité Open SSL Zero Day #heartbleed corrigée, mais votre serveur est-il vraiment à l'abri des vulnérabilités ? vérifiez maintenant

Des chercheurs en sécurité ont découvert un défaut extrêmement critique et à haut risque dans la bibliothèque logicielle cryptographique appelée OpenSSL. OpenSSL est utilisé par environ deux tiers des serveurs Web pour s’identifier auprès des utilisateurs finaux et empêcher la fuite ou l’espionnage des mots de passe, des identifiants bancaires et d’autres données sensibles. Des cybercriminels et des attaquants potentiels qui peuvent exploiter la vulnérabilité peuvent surveiller toutes les données échangées entre un service et un client, ou déchiffrer des données historiques chiffrées avec une intention criminelle. De nombreux systèmes d’exploitation modernes utilisent des versions vulnérables d’Open SSL, y compris Debian Wheezy, Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2 et OpenSUSE 12.2. De plus, deux des serveurs Web les plus utilisés, Apache et nginx, ainsi que la plupart des serveurs de messagerie et des services de chat, VPN, etc., utilisent cette bibliothèque de code. En dehors de cela, la plupart des appareils utilisant Linux embarqué, comme les routeurs, etc., sont également susceptibles à cette vulnérabilité.

Le défaut qui résidait dans les versions de production d’OpenSSL pendant deux ans depuis décembre 2011 pourrait signifier que des hackers/attaquants pourraient récupérer la clé de chiffrement privée dans les certificats numériques. Cela pourrait ensuite être utilisé pour authentifier les données circulant entre les serveurs et les utilisateurs finaux, facilitant ainsi l’exploitation par des cybercriminels de presque tous les identifiants utilisateurs tels que les adresses e-mail, les mots de passe, les noms d’utilisateur bancaires et les mots de passe, etc. Le bogue ne laissait aucune trace de l’attaque dans les journaux du serveur, donc personne ne pouvait savoir si ses serveurs avaient été compromis, ni les utilisateurs finaux ne savaient s’ils étaient soumis à un vol d’identité.

• L’annonce du bogue dans OpenSSL a coïncidé avec la sortie de la version 1.0.1g d’Open SSL. Il a été surnommé ‘Heartbleed’ pour souligner que le bogue était en effet au cœur d’OpenSSL. Les anciennes versions d’OpenSSL, à savoir 1.0.1 à 1.0.1f, à deux exceptions près : la branche OpenSSL 1.0.0 et 0.9.8, sont toujours vulnérables.*

• CloudFlare, un fournisseur de services CDN, a déclaré sur son blog qu’il était déjà au courant de la vulnérabilité et qu’il avait donc pris des mesures pour prévenir toute compromission avec les serveurs soutenus par CloudFlare.*

Aujourd’hui, une nouvelle vulnérabilité a été annoncée dans OpenSSL 1.0.1 qui permet à un attaquant de révéler jusqu’à 64 Ko de mémoire à un client ou serveur connecté (CVE-2014-0160). Nous avons corrigé cette vulnérabilité la semaine dernière avant qu’elle ne soit rendue publique. Tous les sites qui utilisent CloudFlare pour SSL ont reçu cette correction et sont automatiquement protégés.

Un analyste en sécurité, Jared Stafford, a publié un code de test Python pour cette vulnérabilité. Le fichier PDF du testeur Python est donné ci-dessous pour votre référence.

De plus, vous pouvez également visiter https://filippo.io/Heartbleed/ pour vérifier si votre serveur est vulnérable à ce bogue zero day. Pour des informations supplémentaires, vous pouvez visiter le site Github ici traitant de Heartbleed ou le site heartbleed.

*Mise à jour : Dès que la vulnérabilité a été publiée en ligne, Internet a commencé à saigner des fuites. Des centaines des mille meilleurs sites Web, y compris Yahoo, Microsoft, Ubuntu, FBI, sites bancaires, sites gouvernementaux et passerelles de paiement, ont été trouvés vulnérables et des hackers ont déjà commencé à attaquer et à divulguer les identifiants des utilisateurs de nombreux sites Web.*

• • D’autres sites Web, y compris eBay, ont été rapides et ont corrigé la vulnérabilité, se sauvant ainsi de la fuite des identifiants des utilisateurs. Plusieurs autres sites Web sont en panne pour corriger la vulnérabilité, donc si vous voyez certains des grands sites Web en panne pour maintenance dans les prochaines heures, ce n’est pas un gros problème à moins que des fuites de leur serveur ne soient mises en ligne avant cela.
• • Le meilleur moyen de rester en sécurité est de ne pas se connecter à un service en ligne vulnérable à Heartbleed tant que l’administrateur système ne l’a pas corrigé.