Heartbleed, la faille dont toute la planète technologique parle, une faille touchant Open SSL et permettant, par pas de 64 Ko de mémoire, de « remonter » l’historique des communications d’un serveur, exposant les données précédemment traitées, y compris les logins, mots de passe, voire même clefs privées.

pill

Et Heartbleed marche dans les deux sens : un serveur malveillant peut, lui aussi, envoyer des mauvais paquets Heartbleed pour exposer la mémoire, côté client. Nous nous sommes adressés à Yoann Gini, un expert en sécurité informatique, spécialisé dans les environnements Apple, notamment Apple Certified Support Professional et Technical Coordinator, pour en savoir plus.

Il va donner une conférence intitulée Packet Sniffing for Admins, les 8-9 et 11 juillet prochain, est certifié CEH et était plus qu’indiqué pour nous éclairer sur Heartbleed.

Yoann Gini nous répond

Comment décrirais-tu la faille heartbleed ?

gini

Une erreur somme toute assez classique : le développeur fait confiance aux informations reçues par le réseau, sans validation de cohérence de cette valeur ni de véracité dans le contexte en cours.

Ce n’est malheureusement pas choquant de trouver ce genre d’erreur dans bien des logiciels faisant du réseau, on ne peut pas dire que les développeurs aient une réelle culture de la sécurité informatique… C’est cependant choquant de voir que ce genre d’erreur arrive dans des produits comme OpenSSL.

Heartbleed permet de remonter le contenu de la mémoire vive de l’application utilisant OpenSSL


Il a été montré qu’il était possible d’accéder aux clefs privées par le biais de cette faille. Quelles conséquences cela implique-t-il ?

Le protocole SSL/TLS repose sur un système de cryptographie asymétrique, encore appelée cryptographie à clef publique. Le principe est somme toute assez simple : deux clefs sont générées de sorte que ce qui est chiffré par une clef ne peut être déchiffré que par l’autre clef.

Ainsi, lorsque Alice veut envoyer un message confidentiel à Bob, Alice va récupérer la clef publique de Bob — une des deux clefs que Bob aura généré et qui est diffusée à qui la demande — pour chiffrer son message. Bob de son côté dispose de sa clef privée, et il en est le seul détenteur. Avec cette clef privée, il est capable de déchiffrer le message d’Alice.

Le fait que Bob est le seul et unique détenteur de sa clef privée assure la confidentialité de la communication. Personne d’autre ne peut déchiffrer un message lui étant destiné.

capture_d_ecran_2014-04-19_a_10.24.11

La faille Heartbleed de OpenSSL est particulièrement dangereuse en cela qu’elle permet à un attaquant de lire le contenu de la mémoire vive de l’application utilisant OpenSSL. L’application devant avoir chargé sa clef privée en mémoire pour recevoir les communications entrantes, il y a une chance pour que la mémoire récupérée lors de l’exploitation de la faille Heartbleed contienne cette clef privée.

Clefs privées en danger

De fait, la personne ayant réussi à extraire cette clef privée est tout à fait capable de lire les communications adressées au serveur. Mieux encore, elle peut tout à fait se faire passer pour le serveur, sans que cela se voie. Puisque l’attaquant dispose de la véritable clef privée, il pourra se présenter à un client sans que son navigateur ne puisse avertir d’une quelconque tromperie !

Au-delà de ce cas, la faille Heartbleed expose tout le contenu de la mémoire de l’application serveur. Cela veut dire qu’il est tout à fait possible de récupérer autre chose que la clef privée du serveur : mot de passe des derniers utilisateurs ; identifiant de session en cours ; etc.


Comment peut-on savoir si un site ou un service est concerné ? Faut-il les contacter un à un ?

Sans essayer d’exploiter la faille (ce qui n’est pas légal sans l’accord du propriétaire du serveur), ce n’est pas possible de savoir si un service est concerné ou non. Certains journaux comme Slate ont publié une liste de sites vulnérables, certains ont corrigé la faille, d’autre pas encore.

Légalement, la seule option est de contacter son prestataire de service s’il n’a pas déjà communiqué sur le sujet.

La plupart des sociétés sérieuses ont prévenu les clients de la chose. CrashPlan a envoyé un e-mail à ses utilisateurs, des hébergeurs comme AquaRay ont pris les devants en analysant l’ensemble des serveurs qu’ils hébergent et en contactant un à un les administrateurs responsables des serveurs en danger.

Bref, les entreprises sérieuses ont déjà communiqué sur le sujet. C’est l’occasion de se poser des questions vis-à-vis de celles qui ne l’ont pas encore fait…

capture_d_ecran_2014-04-19_a_10.24.24


OS X est-il plus ou moins concerné, ou exactement comme les autres OS ?

Un OS X en installation standard n’est pas concerné. La version OpenSSL mise à disposition par Apple n’est pas touchée par la faille.

Heartbleed déjoue les gros outils de sécurisation


Quels conseils donnerais-tu pour se prémunir autant que faire se peut ?

Il n’y a malheureusement pas de secret pour un administrateur qui ne peut que subir ce genre de chose : il faut se tenir à jour des dernières vulnérabilités en s’abonnant aux divers CERT existants et maintenir à jour ses serveurs.

Les outils de sécurité vendus à prix fort comme les IDS (Intrusion Detection System) ou IPS (Intrusion Prevention System) n’auraient été d’aucun intérêt ici. La faille exploite une mauvaise interprétation d’un message totalement légal.

De manière plus large, il est temps que les éditeurs prennent leurs responsabilités. Nous n’avons pas besoin de nouveaux logiciels de sécurité, ce dont nous avons besoin aujourd’hui, c’est de logiciels plus sécurisés.

Au hasard d’un déplacement, j’ai récemment rencontré un informaticien d’un genre assez rare : quelqu’un qui fait de l’informatique formelle. Une personne qui fait de la preuve formelle. Le travail d’un tel ingénieur est de s’assurer qu’un logiciel fonctionne exactement comme prévu et sans bug. Cela demande beaucoup de temps et d’expérience dans le domaine, mais c’est un métier impératif aujourd’hui pour sortir de cette situation où l’on se permet de sortir des produits qui ne sont pas fiables.

L’informatique est un des rares domaines où l’on se permet de sortir des produits qui n’ont pas été testés en plein ou qui n’ont pas été finis. Si cela pouvait être éventuellement acceptable au début de l’informatique, cela ne peut plus l’être de nos jours. L’informatique est partout.

Quasiment tous les corps de métiers se sont vu modifier par l’arrivée de l’informatique. Cela a de très bons côtés, cela nous permet globalement de vivre mieux. De nombreux secteurs industriels ont même modifié leurs produits pour ajouter une composante numérique à l’affaire. La mode aujourd’hui est aux voitures avec ordinateur de bord toujours plus important et prenant toujours plus le pas sur l’humain. Quelles garanties avons-nous de la qualité du code en production ici ?

Il est grand temps que les gens prennent conscience que s’ils n’augmentent pas leur niveau d’exigence face à l’informatique, ce problème ne sera pas le dernier.

Yoann Gini — iNig-Services

illustration de xkcd & auteur anonyme

Arnaud joue du clavier comme d'autres du xylophone, mais le résultat demeure peu musical. Il conduit la rédac à la baguette et essaye d'éviter les fausses notes. Geek avec de la patine, il officie aussi dans la presse généraliste.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.