Publicité
Si vous faites partie de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris.
Cette semaine, Neel Mehta, membre de l'équipe de sécurité de Google, a informé l'équipe de développement de OpenSSL qu'un exploit existe avec la fonction «heartbeat» d'OpenSSL. Google a découvert le bogue en travaillant avec la société de sécurité Codenomicon pour essayer de pirater ses propres serveurs. À la suite de la notification de Google, le 7 avril, l'équipe OpenSSL a publié son propre Avis de sécurité avec un correctif d'urgence pour le bogue.
Le bug a déjà reçu le surnom de "Heartbleed" par des analystes de la sécurité Bruce Schneier, expert en sécurité, sur les mots de passe, la confidentialité et la confianceEn savoir plus sur la sécurité et la confidentialité dans notre entretien avec l'expert en sécurité Bruce Schneier. Lire la suite , car il utilise la fonction «Heartbeat» d'OpenSSL pour inciter un système exécutant OpenSSL à révéler des informations sensibles qui peuvent être stockées dans la mémoire du système. Alors que la plupart des informations stockées en mémoire peuvent ne pas avoir beaucoup de valeur pour les pirates, le joyau capturerait les clés mêmes que le système utilise pour
crypter les communications 5 façons de crypter vos fichiers en toute sécurité dans le cloudVos fichiers peuvent être cryptés en transit et sur les serveurs du fournisseur de cloud, mais la société de stockage en cloud peut les décrypter - et toute personne ayant accès à votre compte peut consulter les fichiers. Côté client... Lire la suite .Une fois les clés obtenues, les pirates peuvent ensuite décrypter les communications et capturer des informations sensibles comme les mots de passe, les numéros de carte de crédit et plus encore. La seule exigence pour obtenir ces clés sensibles est de consommer les données chiffrées du serveur suffisamment longtemps pour capturer les clés. L'attaque est indétectable et introuvable.
Le bogue d'OpenSSL Heartbeat
Les ramifications de cette faille de sécurité sont énormes. OpenSSL a été créé en décembre 2011 et est rapidement devenu une bibliothèque cryptographique utilisée par des entreprises et des organisations partout sur Internet pour crypter les informations sensibles et communications. Il s'agit du cryptage utilisé par le serveur Web Apache, sur lequel près de la moitié de tous les sites Web sur Internet sont construits.
Selon l'équipe d'OpenSSL, la faille de sécurité provient d'une faille logicielle.
«Une vérification des limites manquantes dans la gestion de l'extension de pulsation TLS peut être utilisée pour révéler jusqu'à 64 Ko de mémoire à un client ou un serveur connecté. Seules les versions 1.0.1 et 1.0.2-beta d'OpenSSL sont affectées, y compris 1.0.1f et 1.0.2-beta1. »
Sans laisser aucune trace dans les journaux du serveur, les pirates pourraient exploiter cette faiblesse pour obtenir des données chiffrées de certains des les serveurs les plus sensibles sur Internet, tels que les serveurs Web bancaires, les serveurs de sociétés de cartes de crédit, les sites Web de paiement de factures et plus.
La probabilité que des pirates informatiques obtiennent les clés secrètes reste cependant remise en question, car Adam Langley, un expert en sécurité de Google, a posté sur son flux Twitter que ses propres tests n'ont pas révélé quelque chose d'aussi sensible que les clés de cryptage secrètes.
Dans son avis de sécurité du 7 avril, l'équipe d'OpenSSL a recommandé une mise à niveau immédiate et un correctif alternatif pour les administrateurs de serveur qui ne peuvent pas mettre à niveau.
«Les utilisateurs concernés doivent passer à OpenSSL 1.0.1g. Les utilisateurs incapables de mettre à niveau immédiatement peuvent également recompiler OpenSSL avec -DOPENSSL_NO_HEARTBEATS. 1.0.2 sera corrigé dans 1.0.2-beta2. "
En raison de la prolifération d'OpenSSL sur Internet au cours des deux dernières années, la probabilité que l'annonce de Google conduise à des attaques imminentes est assez élevée. Cependant, l'impact de ces attaques peut être atténué par autant d'administrateurs de serveurs et de responsables de la sécurité qui mettent à niveau leurs systèmes d'entreprise vers OpenSSL 1.0.1g dès que possible.
La source: OpenSSL
Ryan est titulaire d'un BSc en génie électrique. Il a travaillé 13 ans dans l'ingénierie d'automatisation, 5 ans dans l'informatique et est maintenant ingénieur d'applications. Ancien rédacteur en chef de MakeUseOf, il a pris la parole lors de conférences nationales sur la visualisation des données et a été présenté à la télévision et à la radio nationales.