HeartBleed, l'une des pires failles de sécurité d'Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde de l'IT tremble

Le , par Arsene Newman, Expert éminent sénior
Le monde de l’IT tremble suite à la découverte de la faille HeartBleed sous OpenSSL. Différentes déclarations et réactions ont vu le jour récemment. Tour d’horizon :

Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée

Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.

De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.

En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.

Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.

Les serveurs sont les seuls à être affectés ? Oh que non !

Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.

Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.

L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié

Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».

D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.

Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.

Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.

Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Town Ground Town Ground - Membre à l'essai https://www.developpez.com
le 14/04/2014 à 1:54
Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...

Un article à ce propos en cliquant ici...

Combien d'autres failles?
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 14/04/2014 à 6:38
Bonjour,

Tes sources disent pourtant :

Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Donc à partir de la découverte de la faille à sa correction, tout a été très réactif.

Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 14/04/2014 à 9:36
Citation Envoyé par Town Ground Voir le message
Pour ce qui est de la "réactivité" la faille en question date d'il y a ... deux ans! Donc si pendant les deux dernières années ton compte en banque n'a pas été vidé, tu peux bien attendre encore un peu avant de changer de mot de passe...
Pendant 2 ans, le bug existait, mais la plupart des gens l'ignoraient. A partir du moment où tout le monde connait l'existence du bug, sa nature, et la facilité avec laquelle il peut être exploité, combien de temps crois-tu que les script kiddies vont attendre pour s'attaquer aux serveurs encore vulnérables ?
Avatar de centreurope centreurope - Futur Membre du Club https://www.developpez.com
le 14/04/2014 à 12:18
merci pour l'article, qui n'est pas rassurant mais réaliste...
Pour une info sur la faille et les recommandations d'action, il y a http://www.heartbleed.fr en français, qui reprend les infos d'Heartbleed.com, mashable, etc.
Avatar de sneb5757 sneb5757 - Membre actif https://www.developpez.com
le 14/04/2014 à 14:36
Ce lien évoque le principe de reverse heartbleed. Rapidement, il s'agit de créer un serveur SSL malicieux qui envoie une requête heartbeat à un client pour récupérer 64 kB de sa mémoire.

On peut y trouver un lien vers un outils python permettant de tester les clients ( navigateur ,curl, wget .... )
Avatar de valkirys valkirys - Membre expérimenté https://www.developpez.com
le 14/04/2014 à 14:48
Citation Envoyé par GTSLASH Voir le message
Je trouve aussi que Microsoft fournis de tres bon outils (Visual Studio) et qu'il sont bien a l’écoute des développeurs. Leurs outils apporte vraiment un plus et fais gagner du temps
Mac : Jamais utiliser trop cher je sais pas juger. Et j'aurais vraiment l'impression de me faire arnaquer si j'utilisai ça. j'ai teste Xamarin mais Apple ferme vraiment tous. Si j'ai bien compris il faut absolument un Mac pour compiler. Faut pas exagérer. C'est des voleurs tous simplement.
Qu'est ce que Xamarin a à voir avec Apple?

Oui pour compiler un soft iPhone/Pad ou Mac OSX il faut un mac et pour un programme Windows il faut un ... Windows
Visual Studio n'est que sur Windows et Xcode que sur Mac, eh?

Citation Envoyé par GTSLASH
Google : J'utilise AngularJS que je trouve TRÈS TRÈS bien fait. Jamais eu de problème non plus. J'utilise Chrome sans problèmes
Pas de problème, pour l'instant !
Et Chrome ne devait-il pas passer à OpenSSL?

Citation Envoyé par Arsene Newman Voir le message
Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
Ouais, il y a du en avoir des failles pire que celle la mais dont on n'a jamais entendu parler. Par contre le point essentiel c'est le nombre extrêmement grand des logiciels impactés : clairement tous les acteurs Microsoft, Apple, Google, Oracle, ... devraient auditer ce genre de code sensible qu'ils utilisent de plus où moins près.
Avatar de Tryph Tryph - Membre émérite https://www.developpez.com
le 14/04/2014 à 15:15
Citation Envoyé par GTSLASH Voir le message
enfin -50. Il vous en a fallu du temps

J'ai touche une corde sensible apparemment. Et pourtant les faits son la il n'y a même pas a discuter.
c'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.

non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?

tu vois ou je veux en venir...? remise en question... tout ça...

tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...
Avatar de forthx forthx - Membre confirmé https://www.developpez.com
le 14/04/2014 à 15:19
Qu’en pensez-vous ?
C'est pas joli joli.
La conspiration face au concept: "c'est open source donc c'est plus sûr car revu par beaucoup de contributeurs" laisse songeur.(Ce qui est sur, c'est ce c'est injuste de mettre ca sur le dos de la communauté, cf. licence)
Après il y a plein de failles découvertes tout les jours, plus au moins sérieuses (les applets java en ont pris pour leur grade il y a pas si longtemps). Alors ok celle la est particulièrement croustillante ! Il va falloir que les professionnels réagissent vite pour limiter la casse.
Ce qui me parait sage? couper les serveurs le temps de patcher, mais c'est évidement délicat, malgré le fait que plus l'application est critique, plus les risque d'être ciblé sont grand.
Dans le croustillant il y a ca aussi : http://thehackernews.com/2014/04/Oba...y-Exploit.html

Mais pour répondre a la question : "HeartBleed, l’une des pires failles de sécurité d’Internet ?"
Je pense que non. pour moi, la pire faille, c'est celle qui est exploitée et qu'on ne connais pas. C'était peut être HeartBleed les deux dernières années mais ca ne l'est plus.
Avatar de Aiekick Aiekick - Membre chevronné https://www.developpez.com
le 14/04/2014 à 17:57
si l'opensource c'est le mal alors que pensez du closed source surtout depuis qu'on sait que la NSA a installé des backdoor dans moults logiciel closed-source ?

Et au moins une fois la faille réparée on sait de source sure qu'elle est réparée alos que dans les soft closed-source, il peuvent dire ce qu'ils veulent...
Avatar de stardeath stardeath - Membre expert https://www.developpez.com
le 14/04/2014 à 20:09
Citation Envoyé par Tryph Voir le message
tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...
l'hopital, la charité tout ça, c'est quand même navrant de toujours en revenir au même discours ...
Contacter le responsable de la rubrique Accueil