«Heartbleed», cette faille de sécurité qui fait saigner le Web…

INTERNET – Un problème sur les protocoles utilisés pour protéger le trafic a été corrigé en urgence, mais la mise à jour doit encore être déployée partout…

Img/DR/20Minutes

Alors que le monde avait les yeux tournés vers Windows XP, l’apocalypse a bien failli venir d’une technologie bien moins connue du grand public: OpenSSL, un protocole largement utilisé en ligne pour crypter le trafic Web. Mais si le pire a été évité, la prudence reste de mise.

OpenSSL, c’est quoi?

Vous voyez ce petit cadenas, accompagné de «https», à gauche d’une adresse Web, par exemple sur Yahoo.fr? Cela signifie que le trafic échangé entre votre PC et le serveur est crypté, notamment pour protéger des informations confidentielles comme un mot de passe ou un numéro de carte bancaire. OpenSSL est une technologie open source utilisée par de nombreux sites pour implémenter les deux protocoles de cryptage les plus communs, SSL et TLS.

Qu’est-ce qui saigne?

Le bug a été baptisé «heartbleed» (cœur qui saigne) par ceux qui l’ont découvert, des chercheurs finlandais de Codenomicon et une équipe de Google Security. Il s’agit d’un défaut de conception qui permet à une personne tierce de récupérer des données. 

A la base, la requête «heartbeat» vérifie que la connexion avec un serveur est encore active, comme une sorte de «ping». Mais en ajoutant des paramètres, au lieu de répondre un simple «pong», le serveur crache des données stockées dans sa mémoire vive: login, mot de passe, numéro de carte bleue etc. Pire, les clés de cryptage utilisées par le site peuvent même être obtenues. Heureusement, un hacker mal intentionné pêche en aveugle et il doit effectuer de nombreuses requêtes pour obtenir quelque chose d’intéressant.

Combien de sites sont concernés?

Beaucoup. Selon les experts, plus de deux tiers des serveurs Web utilisent OpenSSL, notamment ceux sous Apache ou Nginx. La faille ne touche cependant qu’une version récente, de 2011. Selon Netcraft, au moins un demi-million de sites sont touchés. Il semble que Google, Facebook, Microsoft, Twitter, Amazon ou Dropbox n’aient pas été concernés (ou qu’ils aient bouché la faille avant l’annonce publique). Les sites de Yahoo, Imgur, OkCupid, KickAss Torrent et du FBI, en revanche, étaient vulnérables.

Le problème corrigé, la mise à jour en cours de déploiement

Les chercheurs ont travaillé avec OpenSSL, et un patch a été déployé lundi soir. Les administrateurs Web doivent mettre à jour leur serveur à la dernière version (OpenSSL 1.0.1g). Certains géants du Net, comme les aiguilleurs de trafic Akamai et CloudFlare, ont visiblement été prévenus en avance et l’ont déjà fait. D’autres, comme Yahoo, l’ont découvert mardi matin et ont updaté leurs systèmes en urgence.

Potentiellement, un problème de long terme

Il y a deux problèmes. D’abord, on ne sait pas si la faille a été exploitée avant qu’elle ne soit rendue publique. Surtout, un site n’a aucun moyen de savoir si ses serveurs ont «saigné» des données par le passé. Selon l’expert en sécurité Michael Kreps, si des hackers ont réussi à dérober des clés de cryptage, ils pourront les utiliser plus tard. Pour protéger ses utilisateurs, un site doit déposer de nouvelles clés et renouveler son certificat de sécurité, ce qui coûte souvent de l’argent.

Que faire pour l’utilisateur?……..

[…]

Lire la suite

Auteur Philippe Berry pour 20Minutes

 

32 commentaires

  • .Mario-Bros.

    le VPN en plus de masquer votre ip donc de rester plus ou moins anonyme réduit les attaques sur votre bécane car elle est indirectement connecté par un serveur lui même protégé donc beaucoup moins vu par les pirates en herbe ou confirmé et les données sont crypté en 128 bits minimum voir plus pour certain donc vos données sont bien plus protéger . alors sauter le pas c’est pas le plus chère et en plus Hadopi ce mais un doigt dans le—————————————– : œil !!!

    ET VOUS PENSIEZ A QUOI D’AUTRE ???

    • coldroom

      Ton VPN ne changera rien à rien, car de toute façon, les données doivent transiter tôt ou tard côté serveur.

      Quant à passer derrière un VPN pour passer outre les attaques des « pirates en herbe ou confirmés ».. Je pense qu’il vaudrait mieux s’abstenir de sortir ce genre d’âneries quand on est pas un minimum du métier.

      La meilleurs sécurité, c’est d’avoir un système d’exploitation à jour, avec un anti-virus à jour et un minimum de vigilance quant aux sites sur lesquels on se promène.

      Ton VPN ne te servira à rien face à des attaques server side, typiquement des applets java à la con ou tout autre script se chargeant chez toi, par exemple.

    • Maverick Maverick

      http://heartbleed.com/

      […
      Is this a MITM bug like Apple’s goto fail bug was?

      No this doesn’t require a man in the middle attack (MITM). Attacker can directly contact the vulnerable service or attack any user connecting to a malicious service. However in addition to direct threat the theft of the key material allows man in the middle attackers to impersonate compromised services.
      …]

      Traduction :
      Ceci ne nécessite pas une attaque « Man In The Middle » (MITM). L’attaquant peut contacter directement le service vulnérable, ou tout utilisateur se connectant à un service mal intentionné. Néanmoins, en plus de la menace directe, le vol de données sensibles permet aux attaquants en MITM de prendre l’identité de services compromis.

      ==> Le pirate n’a pas besoin de ton IP pour capturer les données qui l’intéressent (login, mot de passe, email, etc), il fait ça du côté serveur, soit en exploitant la faille sur le vrai serveur, soit en te faisant venir sur un serveur piégé. Ton proxy protège ton identité, pas le contenu de ta communication.

      • .Mario-Bros.

        erreur car tout ce qui passe par le réseau en VPN est crypté même t’on FAI voit la bande passante que tu utilise mais ne c’est pas ce que tu télécharge ni ou tu va car tout est chiffré ! sinon la police et autre n’aurait aucune difficulté à remonter les personnes ce qui est très loin d’être le cas . je connais des ingénieurs chez Orange qui mon confirmer que par VPN impossible de savoir si tu télécharge un film pirate ou un jeu ou quoi que ce soit d’autre because chiffrement ! La D.C.R.I peut être et encore sa doit être chiant et long de demander au pays les renseignements qui passe sur leurs serveurs . sinon à quoi sert un VPN ? et pour avoir tester les limites j’ai eu aucun souci pour le moment !

        voir ici ou taper chiffrement VPN tout simplement …

        http://www.commentcamarche.net/contents/514-vpn-reseaux-prives-virtuels-rpv

        donc les données que le pirate capture c’est des 1 et des 0 chiffré . depuis 2002 que j’ai des mots de passe pas un n’a été pirater , bien sur le par feu et l’antivirus (surtout le par feu) reste de mise . par VPN mon par feu est au chômage quasi jamais aucune attaque quand je regarde les stats ce qui n’est pas le cas avec ma vrai ip .

        un petit logiciel efficace pour sécuriser vos frappe sur le clavier , léger gratuit ou payant au choix c’est KeyScrambler . toute vos frappes sur le clavier sont modifier donc le pirate enregistre de la daube vous pouvez le voir en action en tapant vos commentaires et mot de passe une de mes sécurité parmi d’autre … je vous le recommande fortement .

        http://www.qfxsoftware.com/download.htm

      • Confiture de Fmurr Confiture de Fmurr

        OK, merci Mario.
        L’association illyse est pour la connexion sécurisée VPN
        http://www.illyse.net
        C’est en faite un tuyau blindé dans lequel circule des données codées.
        L’asso locale n’a pas encore finalisé son projet.

        J’ai bien noté les conseils, en attendant de les étudier si vous en aviez d’autres ,choix du bon VPN ,quels critères à prendre en compte? par exemple ou autres.
        Merci.

      • .Mario-Bros.

        pour des raisons de sécurité évidente Confiture de Fmurr je ne te dirait pas lequel j’utilise par contre les gratuits en théorie comme kiss : http://www.securitykiss.com/index.php?lang=fr

        est très bien tu a le droit à 300 mo par jour il me semble et 4 ou 5 pays différent , si tu veux de l’illimité la il faut payer je te donne deux lien pour te faire une idée .
        une chose est sur si on tombe sur un dieu du hacking et pas un anonymous à la noix rien ne l’empêchera de rentré dans t’a bécane mais ils sont très rare et se foute de l’ordinateur du citoyen lambda comme toi et moi. de plus un ordi vérolé tu le sent tout de suite si tu connais bien t’a machine .

        http://meilleurvpn.fr/

        http://www.topito.com/top-vpn-gratuit-mac-windows-linux

      • thomsark

        Mario-Bros tu semble pas comprendre techniquement l’impact,

        Il s’agit d’une lib qui affecte de nombreux autre produit que les démon http tel que nginx,apache : Tes providers VPN ont été affecté, coté web, vpn,imap smptp, pop, etc.

        De plus la vuln à été introduite en 2011, l’ajout du module heartbeat à la compilation de openssl. Un exploit l’utilisant à été présenté en 2012 à la black hat, depuis plus de nouvelles.
        CQFD? qui s’en est servis depuis?
        la vuln est présente depuis début 2013 sur la majorité des OS stable utilisant openssl.

        Bref Si vous pensez que vous pouvez être anonyme sur internet et que vous utilisez le mot « cryptage » au lieu de « chiffrage », c’est que vous être extrêmement loin du compte.

        Si c’est face à un gouvernement, actuellement il n’y a pas de vrais solution.
        Sauf si vous avez beaucoup d’amis (pour créer des nodes vpn) et bien évidement d’avoir votre propre stack vpn (cad : implémenter vous même, sources fermés).

      • .Mario-Bros.

        je me protège pas du gouvernement ou des gouvernements ni de la DCRI je sais que ça sert à rien mais des petits malin qui se prennent pour des cracks genre anonymous avec un VPN , un bon par feu et deux trois bricole se genre de rigolo ce brosse … Mario

        comme pour les données sur le nuage si crypter pas grand risque des petit pirate je défie qui quiconque d’ouvrir ce fichier texte par exemple et de mettre en ligne l’adresse qui est dessus !!! tu a l’air d’être un bon si je ne me trompe pas alors prouve nous que c’est faisable …

        https://mega.co.nz/#!oVVSgSha!L8PjCqm0vj7RTTuH8nJt4Vgir5ztjmOP9dr8MIbGriM

        si tu me mais l’adresse en ligne je révise mon jugement !!!

      • .Mario-Bros.

        je comprend très bien thomsark ! vous croyez que les gouvernements ne se sont pas penché sur les open source genre linux ? alors que beaucoup de hacker utilise cela ? vous pensez vraiment que rien ne peut les toucher ? mon fichier rar est jute un exemple pour faire comprendre que 99 % des gens seront incapable de l’ouvrir alors décrypter les donné d’un VPN je me marre un peu , si votre machine est bien sécuriser y’a pas de raison . maintenant si un gouvernement se penche sur vous comme dit plus haut y’a pas beaucoup de solution ! de très bon hacker sont tombé des génies qui aujourd’hui bosse pour des gouvernements !
        pour ce qui est de mon fichier oublie car je pense pas que tu fasse partie des 1 % surtout qu’il comprend trois cryptage successif bien différent donc 1 qui est insensible au attack type brut force … mon seul but était de prouver qu’on pouvais échanger des données en toute tranquillité si c’est pas des documents très très illégal peu de chance qu’ils soit ouvert par un état . mes mauvais conseil comme dit plus haut par certain gène surtout les hackers de pacotille.

      • voltigeur voltigeur

        J’ai voulu charger KissSécurity et plus d’accès à la messagerie
        même en changeant de serveurs et de protocole, je suis juste
        connectée en local.
        Obligée de désactiver le logiciel pour accéder au net, tu as une solution??

      • .Mario-Bros.

        je n’est jamais eu se problème avec kiss a tu essayer de le désinstaller ?

      • .Mario-Bros.

        je vient de le remettre pour essayer aucun souci même pour aller sur mes messageries divers genre incredimail .

        mais toi en UDP 123 si tu est sur ta box et en TCP 443 si tu est en free wifi , sfr fon ou tout autre réseau gratuit .

      • voltigeur voltigeur

        Merci Mario, j’essayerai quand je n’aurai pas besoin de l’ordi, suis en
        wi-fi avec cette %£$¤§ de Vista qui rame un max…♥♥

      • .Mario-Bros.

        tu peu aussi nettoyer ta machine le cas échéant si elle est parasité par des petits joueurs avec deux très bon logiciel en version gratuite moi je fait un scanne tout les jours minimum 1 fois quand c’est pas trois fois .

        http://fr.malwarebytes.org/
        http://www.emsisoft.fr/fr/software/download/

        oublie : Spyware Terminator , SuperAntiSpyware , Ad-Aware Free pour ne citer que ces trois la c’est de la daube .

        tu peu aussi faire une image de t’on disque System bien sur il faut la faire des le début sinon pas garantie sans virus dans windows 7 et 8 c’est inclus pour XP norton ghost par exemple .

        moi par principe je la refait tout les mois se qui prend 10 mn ! mon disque dur est Partitionner donc tout mes films , données , musiques ne risque rien car seul le c: est reformater , mon image de sauvegarde est sur un disque dur externe jamais connecté sauf pour la restauration .

        déjà la dur dur pour les anonymous de pacotille …

        dernier point le par feu gratuit de Windows est très bien mais laisse tout sortir sans rien te dire ce qui n’est pas le cas d’un payant et tout ce qui sort sans t’on autorisation ça peut être très dangereux , surtout pas de Firewall craqué !!! la pire des conneries …

      • thomsark

        Mon pauvre compatriot!
        tu es bien paranoiaque pour un windowsien.
        Tu souhaites être anonyme, protéger de tout pourtant tu n’utilise pas de soft open source, que tu récupères n’importe où sur internet.

        Tu cherches à te protéger de qui? de quoi ?

        de scripts kidies? de ton voisin? ou de espionnage de masse?

        Arrêtez de donner des conseils erronés.

      • .Mario-Bros.

        a bon erroné ? j’attend les tient de conseil mon amis !!!

        le défie tient pour toi aussi : ouvre ce fichier et donne moi l’adresse qui est dessus mais mon avis c’est que pas avant 10 ans …

        https://mega.co.nz/#!oVVSgSha!L8PjCqm0vj7RTTuH8nJt4Vgir5ztjmOP9dr8MIbGriM

        tu crois vraiment que tu est à l’abris avec linux ? j’ai un scoup pour toi la réponse est pas plus que Windows , OS & compagnie c’est kif kif .

      • thomsark

        Non mais tu ne comprend rien.
        c’est super j’ai que ça à faire de chercher la passphrase de ton rar. Comme tu l’as dis ça me prendra 10a si la passphrase est correcte. Tu est juste l’autre coté du script kidies.

        Ensuite ça n’a rien avoir avec le sujet : l’utilisation d’internet de manière anonyme.

        Au sujet de mes conseils j’ai réfléchis encore récemment à cause de membre de ma famille utilisant encore un OS non open source, de prévois une série de patch,conf, série de tools à installer pour utiliser de manière tranquil une ubuntu.

        ça passe de la conf iptables autorisant uniquement un vpn perso à la configuration de multiples users pour les browsers. le tout avec un noyaux patché grsec évidement.

        Ce qui as pour conséquence une limitation du flicage global mais pas un anonymat.

        edit: linux, les bsd, les windows, c’est kiff kiff niveau sécu des implémentation. seulement dans la pratique c’est bien plus simple de sécurisé à minimat un post linux, surtout via l’autentification de tes sources. pas un .exe télécharger sans la moindre vérification de celui qui la compilé via gpg

        Tu te rendra compte plus tard (si tu progresse), que plus tu avances plus tu as à en apprendre, et enfait tout ce que tu pensais comme aquis est caduc.

      • thomsark

        Envois un MP sur le forum si tu souhaites échanger et apprendre. je te communiquerais un nick irc ou une boite mail

      • Confiture de Fmurr Confiture de Fmurr

        Pour le coup chui un peu perdu.
        Ubuntu version allégée ,ca marche sans anti trucs et machins,no problème ,avec des addons firefox ,nickel!

  • coldroom

    Et un petit POC en python, si tu veux vraiment comprendre de quoi il s’agit : http://packetstormsecurity.com/files/126070/ssltest.py.txt

    • .Mario-Bros.

      compris ou pas compris je doit être le seul à ne jamais avoir eu de mot de passe ou de n° de carte de crédit pirater pourtant 3 visa sont enregistrer sur mon ordinateur , beaucoup d’entre nous non jamais eu de problème sauf si bien sur vous télécharger des antivirus , firewall ou tout autre logiciel illégalement avec des keygen ou des fichiers exe modifier dans ce cas faut pas crier au loup . 95 % sont vérolé par des petits malin qui compte sur la crédulité des gens ! si vous le faite tester un minimum les fichiers en ligne ! deux adresse : ça scanne avec plusieurs antivirus et anti-spyware en ligne gratuitement .

      https://www.virustotal.com/fr/

      http://virusscan.jotti.org/fr

      si un seul des antivirus voit un problème oublier (surtout si plusieurs en détecte) !!!

  • confucius

    Bonjour,

    C’est un peu trop technique pour moi.
    Par contre je suis scandalisé et remonté contre les us, ces salauds via leur saloperie de NSA, non seulement ne respectent pas la vie privée des utilisateurs, sous prétexte de « chasse aux terroristes », de pc/cellulaire/outils de localisation et j’en passe, mais en plus pourraient être responsables de la détérioration de ce matériel dans le monde.
    Donc nous pouvons résumer que ces salauds ont le Pouvoir :
    1°)-d’avoir à disposition tout le contenu des pc/cellulaire et autres sur tout le monde.
    2°)-sur le contenu total, de le copier/modifier et enfin le voler.
    3°)-d’écouter et de voir l’utilisateur de ces appareils à son insu en activant la camera ou le cellulaire via une application téléchargée.
    4°)-de localiser l’utilisateur.
    5°)-de détériorer ce matériel, via des applications introduites dans le matériel.
    Ceci en faisant la synthèse de (en français):
    http://www.01net.com/editorial/616062/comment-la-nsa-a-industrialise-le-hacking/?google_editors_picks=true

    http://www.01net.com/editorial/567369/stuxnet-un-ver-cree-par-les-etats-unis-et-israel/

    http://www.01net.com/editorial/567735/flame-les-premiers-secrets-de-la-cyberarme-reveles/

    Pour le anglophiles :

    https://firstlook.org/theintercept/article/2014/03/12/nsa-plans-infect-millions-computers-malware/

    Semble plus exhaustif ! (une traduction serait bienvenue).
    Et…bien sûr le chant de la sirène microsoft, via ses avis de sécurité :
    http://blogs.technet.com/b/srd/archive/2012/06/03/microsoft-certification-authority-signing-certificates-added-to-the-untrusted-certificate-store.aspx

    en français :
    http://technet.microsoft.com/fr-fr/security/advisory/2718704

    Pour le 5, serait-ce une collaboration cachée pour permettre aux fabricants de vendre du matériel, à nouveau aux internautes ?

    Il y a de quoi devenir parano !!!

    • Maverick Maverick

      L’obsolescence plus ou moins programmée du matériel suffit largement à nous le faire renouveler … Sa destruction par des moyens logiciels comme StuxNet répond à une logique militaire, et non commerciale. Le problème le plus sérieux, en ce qui concerne le citoyen lambda, est la présence de :
      – Marquages d’identification comme ce que Clinton avait essayé de faire avec les CPU quand il était président;
      – Backdoors volontairement incluses par les fabricants et les éditeurs (déguisées en « failles » ou non)

      De plus, l’intérêt d’un gouvernement (ou d’autres pouvoirs) est moins de détruire le matériel, que de pouvoir en espionner ou en détourner/perturber l’utilisation d’une façon profitable. Voir les machines à voter aux USA : Truquer l’élection est plus intéressant que de l’empêcher.

      http://www.youtube.com/watch?feature=player_embedded&v=i9TDqMr6NlY

      • thomsark

        Le reportage date, mais c’est toujours actualité.

        Au cas ou ces agences n’arrive pas à avoir de backdoor durant la conception d’un soft/OS/composant, il fond appel en renfort à des société qui cherche des exploits pour leur compte.

        vupen à fait les frais de nombreux procès et d’un article sur numerama :

        http://www.numerama.com/magazine/27004-vupen-l-entreprise-francaise-qui-aide-la-nsa.html

        De même pour l’analyse de malware, les gouvernements (français notement) font appel à des sociétés privés. (je ne citerais pas de nom)

      • confucius

        re…,

        Certes, mais ayant aussi une machine de 15 ans d’âge, qui fonctionne toujours, mais pas pour surfer sur le web.
        Je suis en droit légitime de me poser des questions.

        Par ailleurs, comme la finalité de toutes actions de ce type, est plus de pouvoir/contrôle qui passe par le pognon, une alliance avec les « mercants » augmenterait leur pouvoir d’achat.
        Ce n’est pas incompatible, mais serait recommandable pour eux !
        A mon avis, le salarié « lambda » ne cracherait pas dans la gamelle, et après avoir mis les doigts dans la confiture, il peut les lécher.
        Non ?

      • thomsark

        oui, c’est toujours difficile de mordre la main qui te paye ou te corrompt.

      • Maverick Maverick

        Détruire une machine n’a aucun intérêt commercial quand on peut la rendre obsolète; une bécane de 15 ans d’âge doit encore avoir des slots ISA, une carte réseau qui ne dépasse pas le 10 MB/s (si elle a un connecteur RJ45), pas de WiFi, elle a probablement au grand maximum 512 MO de RAM (EDO ? PC 133 ?), sans parler du parc logiciel qui doit être adapté à la taille du bus (16/32/64 bit) de la CM …

        Pour les fichiers, on est obligé de faire attention à les réclamer dans le format le plus ancien; Excel 2010 peut lire un fichier Excel 97, mais pas l’inverse.

        Côté Internet, la compatibilité avec IE 6 a été définitivement abandonnée récemment; même avec du Responsive Design les sites vont devenir illisibles pour un browser aussi « vieux ».

        CQFD : A moins d’en avoir un usage « offline », on finit par devoir changer d’ordi pour rester compatible avec son environnement, et il y a le problème des pièces de rechange qui deviennent introuvables.
        Il n’y a aucun intérêt à risquer de compromettre sa réputation commerciale en détruisant le matériel ancien, quand on peut tout simplement le rendre obsolète en vendant les licences de nouvelles versions plus gourmandes en ressources (les jeux sont l’exemple type de la course entre le matériel et le logiciel).

  • confucius

    Re,

    Ce qui est stupéfiant dans la conférence de presse du président de la Sté US, est la déclaration :
    « J’ai été très clair vis à vis de la communauté du renseignement: à moins que notre sécurité nationale soit en jeu, nous n’espionnerons pas les communications des dirigeants de nos alliés proches et de nos amis »

    et tout particulièrement la partie de phrase :
    « à moins que notre sécurité nationale soit en jeu » ???

    A partir de quel seuil, qui va décider du seuil ?, ce mec va décider de fouiller dans notre vie privée ?
    Comme foutage de gueule il est fort !

    C’est comme une déclaration de la NSA, disant qu’il fallait contrôler la « menace » terroriste.
    Mais où commence la « menace » et où finit-elle ?
    Puis, pour le déterminer, il faut bien l’avoir vérifié en espionnant par une intrusion ?
    Intrusion vérifiée par des individus, mais qui se porte garant de l’honnêteté de ce personnel ? Qui garanti que nos données confidentielles, vitales et bancaires ne seront pas une tentation pour ce petit personnel (avide comme leur philosophie politique commune) ?
    Qui garanti que des individus n’ayant pas réparé leur crime contre l’humanité (génocide des amérindiens pour ne citer que le principal d’une multitude), respecteront notre intégrité ?
    Non ?
    Re-foutage de gueule !
    En rappel, il ne faut jamais faire confiance à des criminels actifs (commettants de crimes), que aux criminels passifs (ceux qui ne s’y opposent pas), même s’ils se repentent « qu’avec » des mots, mais surtout pas par des actes « concrets ».