Heartbleed: Pourquoi cette faille béante de sécurité est si effrayante

heartbleed

Depuis une bonne quinzaine d'années, nous nous sommes sentis en sécurité sur Internet. Le site de votre banque gère vos informations sereinement. Quiétude. Enfin, si l'on occulte ce bug découvert qui se cache dans l'une des mesures de sécurité les plus importantes de l'Internet. Entrez dans le monde de Heartbleed.

Poignées de main secrètes

Le cœur des transactions sécurisées sur Internet repose sur la technologie appelée Secure Sockets Layer (SSL) et également sa petite soeur, à savoir Transport Layer Security (TLS). Globalement, les deux font la même chose, et sont à l’origine de deux petites choses que vous connaissez bien. Vous pouvez remercier TLS / SSL pour le cadenas qui apparaît à côté de l’adresse d’un site Web sécurisé, et les https://.

« En bref, SSL/TLS est une clé cryptographique qui permet au navigateur et au serveur de savoir mutuellement qui ils sont et s’ils peuvent ou non travailler main dans la main. Concrètement, c’est une poignée de main numérique secrète qui maintient vos informations financières en sécurité lorsque vous effectuez un paiement. »

TLS / SSL est un pan entier de l’Internet tel que nous le connaissons aujourd’hui, et heureusement, il fonctionne encore très bien. Alors, qu’est-ce qui cause la violation de la bibliothèque logicielle appelée OpenSSL.

OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques et une interface en ligne de commande. Cet utilitaire et les bibliothèques associées sont disponibles pour la plupart des OS.

Concrètement, il s’agit essentiellement d’un paquet open-source que les gens peuvent utiliser pour obtenir la protection par chiffrement TLS / SSL de façon rapide et facile. Le problème ? Il a eu une faille dedans pendant des années. Une faille baptisée « Heartbleed. »

Au coeur du problème

OpenSSL fonctionne très bien en théorie, mais à cause d’une erreur de codage mineure, et les exploits résultent de là, des gens malveillants peuvent abuser de certaines (et populaires !) versions d’OpenSSL. Ceux-ci peuvent alors intercepter des données privées qui devraient être sécurisées par le code TLS / SSL.

C’est typiquement l’attaque de l’homme du milieu, pus couramment appelée HDM. Il s’agit ni plus ni moins que d’écoute technologique où chaque communication entre votre navigateur et un site est interceptée. Gmail. Facebook. Transactions financières. Tout peut être lu en temps réel, par un parfait inconnu. Promptement résumé :

parfait inconnu

Cette situation est problématique pour deux raisons. Tout d’abord, si les attaquants se placent de façon stratégique lorsque que vous vous connectez à votre compte de messagerie Yahoo.com, ils peuvent voir vos informations. Votre nom d’utilisateur, votre mot de passe, peut-être même votre numéro de carte de crédit en fonction de ce que vous faites. Il y a toutes sortes de choses juteuses à l’intérieur.

Mais ce n’est pas grand chose par rapport au véritable danger… Les assaillants sauront également comment le site récupère vos données… En somme une fois que la poignée de main « secrète » est découverte, tous les paris sont ouverts. Ils peuvent ensuite vous faire croire ce que bon leur semble et également et regarder l’historique de vos transactions.  Prenons l’image d’un cambriolage, comme ils utilisent une clef au lieu de casser la fenêtre, cela ne laisse aucune trace. C’est ballot.

Comment cela vous affecte ?

Heureusement toutes les versions d’OpenSSL ne sont pas vulnérables à ce genre d’exploit et il existe une version désormais sécurisée… Mais compte tenu du temps où cette vulnérabilité était belle et bien présente, ce n’est qu’une piètre consolation.

Il y a pléthore de sites qui utilisaient la version branlante, mais comme ces attaques ne laissent aucune trace… il n’y a aucun moyen de savoir combien ont été réellement attaqués. Si vous êtes utilisateur de l’un d’eux, vos informations d’identification sont maintenant dans la nature.

  • yahoo.com
  • imgur.com
  • flickr.com
  • redtube.com
  • kickass.to
  • okcupid.com
  • steamcommunity.com
  • hidemyass.com
  • wettransfer.com
  • usmagazine.com
  • 500px.com

Bien que ces sites aient rafistolé la faille OpenSSL et effectué l’équivalent Internet d’un changement de serrures cryptographiques, le problème est loin d’être résolu. Toutes les données que les attaquants ont peut-être réussi à obtenir sont perdues pour toujours.

Heureusement, il n’y a pas de véritables mastodontes du commerce virtuel qui aient été soumis au bug. Comprenez, pas d’Amazon, de Google ou de Microsoft. Mais là encore, il s’agit d’une violation sans précédent, et nous ne saurons jamais combien de sites ont été vraiment attaqués.

Hélas, il n’y a pas grand chose à faire pour éviter cet écueil. Certes vous pouvez changer vos mots de passe, mais aussi porter un chapeau en aluminium… Parfois la meilleure solution reste de jeter un œil à son relevé de carte de crédit.

Tags :
Dernières Questions sur UberGizmo Help
  1. Pour tous ceux qui se poserait la question, voici un petit cadeau pour détecter tous les sites ou la faille existe toujours (essayez avec votre site préféré vous risquez d’avoir des surprises ^^

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
  2. …. Il ne s’agit pas cette fois d’un MIM mais d’une problème tout autre.

    pour faire simple, d’un problème de contrôle de taille d’une requête sur le serveur.

    envoie un paquet de 1ko en faisant croire au serveur qu’il en fait 500 il te renverra un pâque de 500 sauf que le paquet retour contiendra ton Ko attendu plus 499 autres placés en mémoire « après » ta demande. à toi de tailler le bon paquet, a la bonne taille pour recevoir des infos intéressantes.

    1. il manque la premiere phrase de ma reponse… comme ca comme par magie. au bout de deux jours… pouf pouf comme c’est curieux, et aucune mention d’edition… etrange etrange ca doit etre dû à une faille SSL 0 day ca encore

      elle disait en substance  » ***…

      hey pour info les modos, quand une personne informe d’un danger potentiel suite à une erreur dans le texte, supprimer cette information peut ete delictuel

      enfin j’dis ca j’dis rien hein

      Réponse modération : si un tel message a été supprimé, c’est qu’il en existait une raison. Veuillez dans ce cas de figure utiliser les liens vers les formulaires de contact à la rédaction ou la modération en bas de page. Merci de votre compréhension.

      *** : ici (de nouveau effacé), évitez l’écriture en majuscules et le dénigrement des rédacteurs

      1. On est d’accord, donc si une phrase est supprimée, sans en avertir (pas ok), sans aucune mention d’edition par un tiers (pas ok) et que c’est « justifié »(admettons)

        les raisons de ladite suppression s’appliquent à la reecriture de la phrase…. donc il aurait du etre justifié que la phrase effacée (reecrite en majuscule ci dessus) soit de nouveau effacée…Et ne soit pas laissée dans un message edité (toujours sans mention) par ladite moderation 😀 ce qui n’est pas le cas.

        1. Bonjour fzfez,

          Vos remarques sont prises en considération, cependant pour éviter le hors sujet, afin de faire part de vos réclamations, que ce soit la rédaction ou la modération, il faut utiliser les formulaires dont les liens figurent en bas de page.

          Cordialement.

          Modération Gizmodo

    2. +10

      Ce n’est pas un MITM.
      Par contre a récupération des clés de chiffrement et certificats via HeartBleed peut mener ultérieurement à la mise en place de MITM, et ce malgré « le petit cadenas ».

  3. Personnellement je n’utilise pas mon numéro de carte de crédit sur le net mais uniquement un numéro virtuel fourni pour un paiement unique par ma banque. Certes, le site de ma banque est peut être compromis mais la il faut que je valide toute opération bancaire par un code reçu par SMS. Je me sens relativement en sécurité même si je reste un brin parano.
    Ça reste moche quand même comme faille de sécurité.

    1. avec ce genre de faille l’attanquant n’en a strictement rien à carrer de tes habitudes. puisqu’il sera entré dans ta banque tranquilou :)

      bon c’est un peu plus compliqué que ca, mais pour faire simple.

      tu vois fort knox ? ba imagine le au milieu d’un centre commercial et sur un de ces murs, une belle maginfique baie vitrée bien grande, bien fine. tu veux te faire un p’tit lingots ou deux. pete un carreau et sers toi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité