Trouver une actualité en Occitanie

Depuis plusieurs jours, les médias spécialisés et les experts en sécurité ne parlent que de ça : une nouvelle vulnérabilité touche la librairie d'openSSL et permettrait à un attaquant de récupérer des informations confidentielles comme des mots de passe, des identifiants de cartes bleues, etc.
Nous avons demandé à Erick BULLIER, spécialiste en sécurité informatique, de nous expliquer cette alerte, sa portée et de nous rappeler les mesures de protection à suivre.


Quésaco

Dans la vie numérique, quand on veut échanger de façon sécurisée sur les réseaux, on utilise le chiffrement. Grâce à ce procédé, le contenu de la conversation n'est compréhensible que par le client (vous) et le serveur de destination (site bancaire par exemple). Cerise sur le gâteau, la technique permet également de s'assurer que le site web est bien celui qu'il prétend être et pas un usurpateur se faisant passer pour lui.

Pour l'utilisateur, c'est assez simple : lorsqu'il se connecte à un site web utilisant le chiffrement, un petit cadenas s'affiche et l'adresse utilisée commence par HTTPS.
Il faut savoir que le chiffrement peut être utilisé lors de nombreux types d'échanges internet : mail, messagerie instantanée, FTP, visioconférence, VPN...


Un des principaux moyens de chiffrement utilisé est justement OpenSSL. C'est dans une de ses extensions, heartbeat que la vulnérabilité a été trouvée. Cette extension permet à la connexion de se maintenir dans le temps en envoyant un signal à intervalle régulier (battement de coeur). Un utilisateur malicieux, en l'utilisant de façon détournée, pourra récupérer des informations confidentielles, chiffrées durant la connexion, mais déchiffrées en mémoire sur le serveur. Cette récupération se fera de manière aléatoire. Elle n'est pas détectable. Il est donc possible de récupérer une grande quantité d'information.


Les risques

Cette vulnérabilité est présente depuis deux ans. Si un attaquant en a eu connaissance avant que le serveur n'ait pu être patché (application des mises à jour de sécurité), il a eu largement le temps de l'exploiter et de récupérer des données confidentielles.

L'accès à la mémoire de l'ordinateur cible (le serveur web par exemple) implique deux risques essentiels :

1. L'attaquant peut récupérer des informations confidentielles d'autres utilisateurs dans la mémoire du serveur : mots de passe de connexion, cookies, clefs et certificats cryptographiques...

2. Une fois les bons certificats récupérés, l'attaquant peut lancer une seconde attaque en se faisant passer pour le serveur. Le client pensera alors être en communication avec le serveur légitime (sa banque par exemple), alors qu'il sera en connexion avec un faux site présenté par le pirate. L'attaque n'est pas aussi triviale que précédemment, mais elle peut être grandement facilitée par des actions d’ingénierie sociale ou une campagne de phishing.


Comment réagir

Vous êtes utilisateur :
1. Vérifier que le site sur lequel vous vous rendez a bien effectué les mises à jour d'OpenSSL.
a) en demandant explicitement au prestataire du service,
b) en testant le site à l'url http://filippo.io/Heartbleed/

2. Si OpenSSL a bien été patché, modifiez tous les mots de passe que vous avez pu utiliser lors de vos différentes connexions au site. En effet, ils peuvent avoir été compromis.

Vous êtes fournisseur d'un service (webmaster par exemple) :
1. Si vous maintenez un site web ou un serveur, effectuer les mises à jour de toute urgence.
2. Redémarrer le serveur et l'ensemble des services utilisant OpenSSL
3. Régénérez les clefs privées et les certificats utilisés par le serveur.
Attention de nombreux services peuvent avoir été impactés : IMAPS, POPS, eSMTP,
HTTPS, sTunnel, OpenVPN, etc.
4. Demandez à vos utilisateurs de changer leurs mots de passe.

Article rédigé par Eric BULLIER ...