La faille de sécurité "Heartbleed" dans la librairie OpenSSL

Restez toujours informé : suivez-nous sur Google (☆)

Récemment, vient d'être découverte une faille de sécurité dans la librairie OpenSSL, un des logiciels de cryptage les plus utilisés dans le monde. Environ 17 % des serveurs web dits sécurisés, ce qui représente un demi-million de serveurs, seraient touchés. Ce trou de sécurité a été baptisé « Heartbleed ». Cette situation rend désormais vulnérables de nombreux sites web et surtout les données des utilisateurs. On peut même dire que c’est l’une des plus grosses menaces à la sécurité informatique dont les conséquences peuvent être catastrophiques.

Heartbleed est en fait une importante faille de sécurité qui vise une librairie, ou une bibliothèque, de données en gérant les échanges entre un client et le serveur. Généralement, elle est utilisée pour crypter les informations qui circulent sur la toile. En d’autres termes, les internautes qui verront le trafic circuler entre le serveur et un client ne verraient passer que des caractères complexes incompréhensibles.

Rappelons que cette faille de sécurité existe depuis mai 2012. Jusqu’à maintenant, personne ne sait qui connaissait cette faille depuis cette date. Il est impossible de savoir quelles données ont été décryptées. Même si cette faille peut être réparée, rien ne nous garantit que ce qui a déjà été échangé ne sera pas utilisé à mauvais escient.

Actuellement, des mises à jour matérielles et logicielles sont livrées par les constructeurs de serveurs informatiques Dell, HP et IBM, afin de corriger cette faille de sécurité. Rappelons qu'elle pourrait permettre de dérober des données très sensibles comme des mots de passe.

ZI
ziirish

Attention aux erreurs. Le décryptage est le fait de "casser" un chiffrement sans en connaître la clé. Le "cryptage" quant à lui n'est pas synonyme de chiffrement.

Avec le fameux bug Heartbleed il est possible de récupérer la clé de chiffrement via certaines méthodes "simples". Et suite à cette opération de récupération de la clé, on peut être en mesure de déchiffrer une conversation entre le client et le serveur.

En Cryptographie on parle de chiffrement (opération de chiffrer un message avec une clé) et de déchiffrement (opération de déchiffrer un message en connaissant la clé).

VI
Victor

Y a-t-il un pack de correction et où ?

AL
Alenore

Victor
Y a-t-il un pack de correction et où ?

Le bug affecte majoritairement les serveurs et n'est donc pas quelque chose que les utilisateurs peuvent corriger.
En revanche, si la demande concernait les serveurs, OpenSSL a été mis à jour un jour après la découverte du bug avec un fix. Il suffit aux administrateurs de mettre à jour leur version pour corriger le problème.

OpenSSL est également intégré à plusieurs logiciels, mais très peu sont utilisé en tant que serveur, et il faudrait à un éventuel pirate un accès à l'ordinateur au préalable, et il ne pourrait pirater que les données de ce logiciel en question (voire rien du tout, suivant comme le logiciel utilise OpenSSL).

avatar
QJ

Précisions puisque je suis dans le métier et que ce bug affecte le planning de mon travail... :fada:

C'est une faille de sécurité qui affecte principalement les serveurs.
Et encore, seule une partie de ces serveurs utilisent les versions vulnérables.
Sur cette partie vulnérable, il faut encore déterminer que le service est vulnérable.
Si le travail des informaticiens a été bien fait, c'est pas impossible mais difficile.
Et si le travail des informaticiens a vraiment été fait correctement, voir que le serveur
est vulnérable, a toute les chances de générer une alerte. Êtres discret demande beaucoup de temps
et de gros moyens techniques pour ne pas se faire prendre.

Vos butineurs Internet n'ont donc rien a voir là-dedans.

Seules les versions 1.0.1 (>12/2011) à 1.0.1f (incluse) d'OpenSSL sont vulnérables.

C'est Neel Mehta de Google Security qui a découvert cette faille de sécurité, et, a informé le mainteneur principal d'OpenSSL le 6 avril.
La version corrigée est sortie le 7 avril.

Question : Quel éditeur privé de logiciels peut se targuer de réagir aussi vite ?

avatar
cisou9

Effectivement, c'est du rapide !!! ;)