F.A.Q sur le bug Heartbleed : Ce que vous avez besoin de savoir

Le bug Heartbleed a été découvert il y a quelques jours et on a assisté à une véritable déferlante sur le web. On a de nombreux scénarios catastrophes qui seraient possibles par ce bug, car il concerne un protocole de sécurité extrêmement populaire.

Donc, il est important de connaitre toute la merde concernant le bug Heartbleed ainsi que de déterminer si vos informations personnelles pourraient être piratées à cause de ce bug.

[toc]

C’est quoi Heartbleed ?

 

Heartbleed est une faille de sécurité dans le logiciel OpenSSL qui permet à un pirate d’accéder à la mémoire de données sur des serveurs. Selon Netcraft, près de 500 000 sites pourraient être concernés par ce bug. Cela indique que les informations personnelles de l’utilisateur incluant ses noms d’utilisateur, ses mots de passe et les informations de paiement pourraient être compromises.

Cette faille implique également qu’un pirate pourrait voler les clés d’un serveur qui servent à crypter les communications afin d’accéder aux documents internes de la compagnie.

C’est quoi, OpenSSL ?

 

Le SSL signifie Secure Socket Layers, mais on le connait aussi par le Transport Later Security ou TLS. C’est le moyen le plus basique pour crypter l’information sur le web et il évite les risques que quelqu’un intercepte vos informations pendant votre navigation. Si vous ne comprenez pas, sachez que si vous visitez un site web et qu’il est sous la forme https://monsite.com, alors cela signifie que ce site utilise le SSL.

OpenSSL est une implémentation Open Source du SSL sur le web. Les versions d’OpenSSL concernées par cette faille sont OpenSSL 1.0.1 jusqu’à 1.0.1f. OpenSSL fait également partie du système Linux et il est l’un des composants des serveurs Apache et Nginx. En clair, OpenSSL est très populaire sur le web.

Qui a découvert le bug Heartbleed ?

 

La paternité revient à la firme de sécurité Codenomicon et un chercheur chez Google appelé Neel Mehta. Les deux ont trouvés le bug indépendamment dans leur coin le même jour. Mehta a donné sa récompense de 15000 dollars qu’il a reçu pour avoir découvert ce bug à la fondation Freedom for Press qui développe des outils de cryptage pour les journalistes qui veulent communiquer avec leurs sources.

Mehta n’a pas encore accordé d’interview, mais selon Google, l’entreprise s’engage toujours à découvrir et à publier des failles de sécurité pour informer et protéger les utilisateurs.

Pourquoi le nom de Hearbleed ?

 

Selon Vocativ, le terme Heartbleed a été proposé par Ossi Herrala, un administrateur système chez Codenomicon. On doit admettre que c’est un nom plus cool que son nom technique qui est CVE-2014-0160 qui indique la ligne de code qui contenait le bug.

Heartbleed joue sur le jeu de mot concernant une extension d’OpenSSL appelée Hearbeat. Ce protocole est utilisé pour permettre aux connexions de rester ouvertes même quand il n’y a plus de données qui sont partagées par ces deux connexions. Herrala a pensé que c’était approprié de l’appeler Heartbleed parce qu’il fait saigner de l’information importante de la mémoire.

On peut penser que le nom était un peu sensationnel, mais c’était voulu par l’équipe de Codenomicon qui voulait que les médias et le public connaissent le bug et il n’y pas de meilleure manière d’étaler plein de sang sur un bug informatique.

Pourquoi certains sites web ne sont pas affectés par Heartbleed ?

 

Bien qu’OpenSSL soit très populaire, il existe d’autres options SSL/TSL. De plus, certains sites web utilisent des versions antérieures qui ne sont pas concernées par le bug et d’autres n’ont pas activés l’extension Heartbeat qui est principalement concernée par la faille.

Même si cela ne résout pas le problème, on peut limiter les dégats en implémentant une Perfect Forward Secrecy ou PFS qui consiste à ce que la clé de cryptage possède une durée de vie très limitée et qui ne soit pas réutilisable. Cela signifie que même si un pirate arrive à voler les clés, il ne pourra pas voler toutes les informations, car leur durée de vie est limitée. Des géants tels que Google et Facebook utilise le PFS, mais ce n’est pas le cas de toutes les entreprises.

Comment fonctionne le bug Heartbleed ?

 

La faille permet à un pirate d’accéder à plus de 64 kilobytes de la mémoire d’un serveur et il peut attaquer encore et encore pour obtenir de nombreuses informations. Cela signifie que le pirate ne peut pas juste voler les noms d’utilisateurs et les mots de passe, mais également les données dans les Cookies qui sont utilisés par les serveurs et les navigateurs pour garder la trace de leurs utilisateurs et pour faciliter la connexion. Selon l’Electronic Frontier Foundation, une attaque répétée permet d’accéder à des informations plus sensibles tels que la clé privée SSL qui est utilisée pour crypter le trafic. Ainsi, quelqu’un pourrait utiliser cette clé privée pour créer une fausse version du site original pour intercepter toutes sortes d’informations telles que les messages privées ou ceux de la carte de crédit.

Dois-je changer mes mots de passe ?

 

Pour de nombreux sites, la réponse est oui. MAIS attendez que le site vous demande de le faire en vous informant que le bug a été corrigé. C’est du bon sens de changer ses mots de passe, mais si vous le faites et que le site n’a pas corrigé le bug, alors le pirate pourra également voler votre nouveau mot de passe.

Comment déterminer si un site web a été affecté ou qu’il a corrigé la faille ?

 

Quelques entreprises et des développeurs ont crée des sites de test pour tester leur vulnérabilité. On peut citer LastPass, un éditeur pour un gestionnaire de mot de passe et Qualys, une firme de sécurité. Notons que ce sont des précautions de base, mais il faut être toujours vigilant. Si vous voyez un drapeau rouge sur les listes proposées par ces deux compagnies, alors évitez le site.

Mais la manière la plus sûre est d’attendre des annonces officielles de vos sites et de nombreux travaillent pour corriger le bug.

Qui est derrière le bug Heartbleed ?

 

Selon The Guardian, le programmeur qui a écrit le code est Robin Seggelmann qui a travaillé pour le projet OpenSSL pendant ses études entre 2008 et 2012. Pour enfoncer le clou, il a envoyé le code à 23:59 pendant le Nouvel An de 2011 même s’il a déclaré que l’heure de la publication n’avait rien à voir avec le bug. Il assume sa responsabilité parce qu’il a écrit le code et qu’il ne l’a pas vérifié correctement.

Mais étant que c’est un projet Open Source, il est difficile de jeter le blâme sur une seule personne. Selon Zulfikar Ramzan, responsable chez la firme de sécurite Elastica : Les développeurs doivent traiter du code très complexe et le protocole Hearbeat n’a pas bénéficié d’une vérification suffisante. Heartbeat n’est pas le principal composant de SSL et c’est juste une extension. Il est normal que personne n’ait étudié attentivement le code, car il ne faisait pas partie du code principal.

Par ailleurs, on peut également pointer du doigt le manque de financement d’OpenSSL qui a reçu seulement 2000 dollars en 2013. On ne compte pas sur les particuliers pour financer le projet, mais quand des géants du web qui utilisent OpenSSL et qui ne donnent pas un seul centime, on peut dire que le bug Heartbleed est une bonne chose dans la mesure où il montre l’exploitation sans aucune contre-partie des projets Open Source.

Est-ce que le gouvernement américain a exploité le bug Heartbleed avant qu’on ne le découvre ?

 

Ce n’est pas très clair pour le moment, mais des sources mentionnent que la NSA connaissait le bug et qu’il l’a exploité pour collecter des informations. Mais quoi qu’il en soit, le bug Heartbleed est une faille de sécurité majeure.

Devrais-je m’inquiéter pour mon compte en banque ?

 

La plupart des banques n’utilisent pas OpenSSL, mais un cryptage propriétaire. Mais si vous avez des doutes, contactez directement votre banque pour plus d’informations sur la sécurité de son site. De plus, on recommande de vérifier vos transactions financières pendant les prochains jours pour détecter des mouvements suspects.

Comment puis-je savoir si quelqu’un a utilisé le bug Hearbleed pour voler mes informations ?

 

C’est impossible. L’exploitation du bug ne laisse aucune trace sur les fichiers journaux d’un site selon Codenomicon.

Les gestionnaires de mot de passe et le facteur à double authentification

 

Cet article se base sur CNET et il termine en préconisant l’utilisation de gestionnaires de mot de passe et du facteur à double authentification. Mais la difficulté du mot de passe n’est pas en cause, car cette faille permet de les collecter à la base de la communication. Le fait d’utiliser un gestionnaire de mot de passe pour créer des mots de passe pour chaque site permet d’augmenter la difficulté du pirate, mais on n’est pas protégé pour autant.

Quand au facteur à double authentification, il peut être utile, car il demande un code envoyé par SMS en plus du mot de passe.

Traduction libre de l’article source

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s