Je ne réagis que maintenant à cette actualité qui a fait beaucoup parlé d'elle ces derniers jours dans le monde de la sécurité informatique pour plusieurs raisons et principalement sur le fait de se dire qu'il faut laisser les choses se calmer et réagir "à froid" et non dans la précipitation afin d'avoir suffisamment de recul.
Introduction
Le code introduisant la faille de sécurité a été introduit dans la version 1.0.1 d'OpenSSL en date du 14 mars 2012, ce dernier a été signalé par les équipes de Google et de Codenomicon en avril 2014.Les versions impactées sont les suivantes : OpenSSL 1.0.1 (inclus) à la version 1.0.1f (inclus).
Beaucoup d'article font état de l'impact sur les utilisateurs lambda mais qu'en est-il du monde de l'entreprise et des IT Pro ? En effet des produits connus tels que VMWare et Oracle sont eux aussi impacté par cette faille, ces derniers utilisant OpenSSL.
Cependant les technologies de Microsoft utilisant leurs propres implémentations TLS/SSL au travers du Schannel ne sont pas impactées : AZURE, Office 365, ...
Il est clairement évident que dans un monde d'entreprise les attaques seront orientées sur du social engineering si une entreprise possède un compte FaceBook par exemple, ou bien des attaques orientées sur des données sensibles stockées en base ou sur des machines virtuelles.
Principe de fonctionnement
La RFC6520 décrit le fonctionnement du heartbeat au sein d'un échange TLS, ce qui permet à un point de terminaison d'envoyer une requête de type heartbeat à l'autre partie. Il est possible sur les versions concernée d'envoyer un message "corrompu" qui demande au serveur de lui renvoyer un paquet possédant un champ de donnée plus grand que la normal. Ce qui a pour effet de livrer sur cet échange le contenu présent en mémoire (64ko maximum) du serveur contenant les transactions TLS et donc potentiellement des éléments critiques tels que :- Carte bancaire
- Mot de passe
- La clé privée utilisée par le serveur
Il faut cependant garder à l'esprit que l’attaquant devra chercher au hasard pour récupérer le maximum d'informations critiques afin de potentiellement récupérer l'information qui l’intéresse, ce qui peut prendre du temps.
Actions préventives
Les différents éditeurs ont assez vite réagi sur le sujet :- Mettre à jour OpenSSL ou bien recompiler votre version actuelle avec le paramètre -DOPENSSL_NO_HEARTBEATS afin de désactiver la fonctionnalité de heartbeat
- Mettre à jour votre infrastructure VMWare : http://www.vmware.com/security/advisories/VMSA-2014-0004.html
- Mettre à jour votre infrastructure Oracle : http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html
- Si vous êtes heureux possesseur de F5, mettre en place les règles de protection : https://f5.com/solutions/mitigation/mitigating-openssl-heartbleed
Pour aller plus loin
Si vous souhaitez creuser un peu plus sur cette faille :- Site dédié: http://heartbleed.com/
- Ou son équivalent sur Wikipedia : http://en.wikipedia.org/wiki/Heartbleed
- Etat des principaux sites utilisés : http://www.lwgconsulting.com/news/sites_affected_by_heartbleed_bug.aspx
- Outil de test pour vos ressources exposées sur Internet : https://filippo.io/Heartbleed
Merci à Maxime Rastello pour sa relecture sur cet article.
Aucun commentaire:
Enregistrer un commentaire