mercredi 16 avril 2014

HeartBleed : precision sur une faille qui a secoué Internet


Je ne réagis que maintenant à cette actualité qui a fait beaucoup parlé d'elle ces derniers jours dans le monde de la sécurité informatique pour plusieurs raisons et principalement sur le fait de se dire qu'il faut laisser les choses se calmer et réagir "à froid" et non dans la précipitation afin d'avoir suffisamment de recul.

Introduction

Le code introduisant la faille de sécurité a été introduit dans la version 1.0.1 d'OpenSSL en date du 14 mars 2012, ce dernier a été signalé par les équipes de Google et de Codenomicon en avril 2014.

Les versions impactées sont les suivantes : OpenSSL 1.0.1 (inclus) à la version 1.0.1f (inclus).

Beaucoup d'article font état de l'impact sur les utilisateurs lambda mais qu'en est-il du monde de l'entreprise et des IT Pro ? En effet des produits connus tels que VMWare et Oracle sont eux aussi impacté par cette faille, ces derniers utilisant OpenSSL.

Cependant les technologies de Microsoft utilisant leurs propres implémentations TLS/SSL au travers du Schannel ne sont pas impactées : AZURE, Office 365, ...

Il est clairement évident que dans un monde d'entreprise les attaques seront orientées sur du social engineering si une entreprise possède un compte FaceBook par exemple, ou bien des attaques orientées sur des données sensibles stockées en base ou sur des machines virtuelles.

Principe de fonctionnement

La RFC6520 décrit le fonctionnement du heartbeat au sein d'un échange TLS, ce qui permet à un point de terminaison d'envoyer une requête de type heartbeat à l'autre partie. Il est possible sur les versions concernée d'envoyer un message "corrompu" qui demande au serveur de lui renvoyer un paquet possédant un champ de donnée plus grand que la normal. Ce qui a pour effet de livrer sur cet échange le contenu présent en mémoire (64ko maximum) du serveur contenant les transactions TLS et donc potentiellement des éléments critiques tels que :
  • Carte bancaire
  • Mot de passe
  • La clé privée utilisée par le serveur
Ou de façon plus imagée :

Il faut cependant garder à l'esprit que l’attaquant devra chercher au hasard pour récupérer le maximum d'informations critiques afin de potentiellement récupérer l'information qui l’intéresse, ce qui peut prendre du temps.

Actions préventives

Les différents éditeurs ont assez vite réagi sur le sujet :
Et surtout ne pas sombrer dans la panique et la paranoïa :)

Pour aller plus loin

Si vous souhaitez creuser un peu plus sur cette faille :

Merci à Maxime Rastello pour sa relecture sur cet article.

Aucun commentaire:

Publier un commentaire