HeartBleed, l'une des pires failles de sécurité d'Internet ?
Entre théorie du complot, paranoïa et angoisse, le monde de l'IT tremble
Le 2014-04-14 01:15:55, par Arsene Newman, Expert éminent sénior
Le monde de l’IT tremble suite à la découverte de la faille HeartBleed sous OpenSSL. Différentes déclarations et réactions ont vu le jour récemment. Tour d’horizon :
Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée
Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.
De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.
En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.
Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.
Les serveurs sont les seuls à être affectés ? Oh que non !
Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.
Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.
L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié
Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.
Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.
Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.
Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com
Et vous ?
Qu’en pensez-vous ?
Des conspirationnistes accusent l’auteur du bug de l’avoir introduit de manière délibérée
Le développeur logiciel allemand Robin Seggelmann, qui est l’auteur du bug HeartBleed, s’est vite retrouvé sous les feux des projecteurs. En effet, plusieurs théories du complot ont circulé récemment, l’accusant d’avoir introduit délibérément le bug.
De son côté, l’allemand explique simplement que le bug était présent dans la branche de développement, puis il est passé outre les mailles du système de validation, c’est pour cela qu’il est présent dans la version publiée.
En outre, il reconnait que ce petit bug a un impact important sur la sécurité d’OpenSSL. Toutefois, pour lui, les théories du complot visant sa personne n’ont pas lieu d’être. « Ce n’était pas délibéré, de plus j’ai corrigé plusieurs bugs sous OpenSSL par le passé, je ne tentais donc que de contribuer au projet », se justifie Seggelmann.
Enfin, il estime que ce bug a peut-être été utilisé par des agences gouvernementales, car face à ce genre de situation, il faut envisager le pire des scénarios. Il appelle donc à plus de vigilance et surtout à plus de contributions au projet open source pour détecter préalablement des bugs.
Les serveurs sont les seuls à être affectés ? Oh que non !
Alors que les professionnels de l’IT s’agitent et évoquent l’impact de ce bug sur les serveurs, il est important de ne pas oublier qu'il affecte également les utilisateurs sur leurs différents appareils (smartphones, PC, ordinateurs portables, routeurs domestiques, etc.). Ainsi, des attaquants peuvent facilement récupérer des informations sensibles à partir de ces appareils, telles que mots de passe et informations bancaires.
Un expert en sécurité déplore cette situation et surtout le manque de communication des équipementiers avec leurs clients qui sont exposés, ce qui n’est pas le cas de Google. Le géant de Mountain View a fixé CloudSQL et prépare une mise à jour de Google Search Appliance. Seul Android 4.1.1 serait exposé du côté de l’OS mobile.
L’horreur et la paranoïa s’emparent des experts en sécurité, au moment où un script pour Metasploit est publié
Pour beaucoup de spécialistes, cette faille est l’une des pires qu’a connues le monde IT. L’expert en sécurité Bruce Schneier estime que « sur une échelle de 1 à 10, la faille se situe à 11 ».
D’ailleurs, certains d’entre eux recommandent de se déconnecter temporairement du réseau Internet, craignant d’éventuelles attaques exploitant la faille, comme celles basées sur le script ruby qui s’exécute sous Metasploit.
Autre argument qui peut expliquer cette paranoïa : le bug affecte pas moins de 500.000 serveurs, soit 17,5 % des sites web de confiance, de quoi laisser du pain sur la planche jusqu’en 2020 pour les tests de pénétration en sécurité.
Enfin, un outil a été mis à la disposition des utilisateurs pour vérifier si leurs services préférés en ligne sont touchés.
Sources : The Sydney Morning Herald , Google Online Security , Netcraft.com
Et vous ?
-
TryphMembre éméritec'est "amusant": tu nous expliques depuis le début que l'open-source est incapable de se remettre en question (ça veut pas dire grand chose mais on comprend ce que tu essaies de dire) et à aucun moment tu n'imagines que si les gens te down-votent c'est peut être parce que tu dis n'importe quoi.
non tu préfères croire que c'est parce que tu as découvert "une vérité qui dérange"... et peut être qu'un complôt franc-maçonique chercher à te discréditer..?
tu vois ou je veux en venir...? remise en question... tout ça...
tu te demandes pourquoi des gens te mettent des "moins". alors je vais parler de mon cas:
j'ai déjà lu des masses de messages venant de toi et ça tourne toujours autour du même thême: "l'open-source c'est mal, on peut pas leur faire de procès. Microsoft est une entreprise de dieux vivants". tu dis toujours la même chose, je sais déjà ce que ton message va dire avant de le lire. et une fois arrivé à la fin du message j'ai la déception de me rendre compte que j'ai deviné juste.
je ne veux pas perdre 20 minutes à faire une réponse argumentée que tu ne liras pas, avec des sources que tu ne lira pas non plus. je te mets un "moins", ça va plus vite et c'est pas moins efficace.
j'espère avoir éclairé ta lanterne, mais en même temps, je doute que tu aies lu jusque là...le 14/04/2014 à 15:15 -
NeckaraInactifBonjour,
Tes sources disent pourtant :Cette faille daterait d'il y a deux ans et aurait été découverte la nuit du lundi 7 avril au mardi 8 avril 2014.
Après on ne peut pas corriger des bugs qu'on ne connaît pas et avoir un logiciel avec 0 bugs est impossible. De même ce n'est pas parce qu'un bug existe qu'on est au courant de son existence.le 14/04/2014 à 6:38 -
Pas toujours facile de planifier un donwtime pour patcher le(s) équipement(s) impacté(s)...
En attendant, vous pouvez carrément bloquer le heartbeat du handshake TLS avec la règle iptable suivante :Code : iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Stephle 15/04/2014 à 13:55 -
Algo D.DNMembre éprouvéEn cas de besoin concernant les distributions (GNU-Linux), les bulletins de sécurité OpenSSL se trouvent aux adresses respectives ci-dessous:
Bulletin Red Hat: https://rhn.redhat.com/errata/RHSA-2014-0376.html
Bulletin Fedora: https://lwn.net/Articles/594066/
Bulletin OpenSuSe: http://lists.opensuse.org/opensuse-s.../msg00005.html
Bulletin Debian: http://www.debian.org/security/2014/dsa-2896
Bulletin FreeBSD: http://www.freebsd.org/security/advi...06.openssl.ascle 15/04/2014 à 17:49 -
Traroth2Membre émériteCes 7 failles n'auraient pas été découvertes sans Heartbleed. A quelque chose malheur est bon...
C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !le 06/06/2014 à 10:27 -
forthxMembre éprouvéQu’en pensez-vous ?
La conspiration face au concept: "c'est open source donc c'est plus sûr car revu par beaucoup de contributeurs" laisse songeur.(Ce qui est sur, c'est ce c'est injuste de mettre ca sur le dos de la communauté, cf. licence)
Après il y a plein de failles découvertes tout les jours, plus au moins sérieuses (les applets java en ont pris pour leur grade il y a pas si longtemps). Alors ok celle la est particulièrement croustillante ! Il va falloir que les professionnels réagissent vite pour limiter la casse.
Ce qui me parait sage? couper les serveurs le temps de patcher, mais c'est évidement délicat, malgré le fait que plus l'application est critique, plus les risque d'être ciblé sont grand.
Dans le croustillant il y a ca aussi : http://thehackernews.com/2014/04/Oba...y-Exploit.html
Mais pour répondre a la question : "HeartBleed, l’une des pires failles de sécurité d’Internet ?"
Je pense que non. pour moi, la pire faille, c'est celle qui est exploitée et qu'on ne connais pas. C'était peut être HeartBleed les deux dernières années mais ca ne l'est plus.le 14/04/2014 à 15:19 -
tomlevRédacteur/ModérateurPendant 2 ans, le bug existait, mais la plupart des gens l'ignoraient. A partir du moment où tout le monde connait l'existence du bug, sa nature, et la facilité avec laquelle il peut être exploité, combien de temps crois-tu que les script kiddies vont attendre pour s'attaquer aux serveurs encore vulnérables ?le 14/04/2014 à 9:36
-
Juniper et Cisco ont sorti leurs bulletins :
http://kb.juniper.net/InfoCenter/ind...mp;id=JSA10623
http://tools.cisco.com/security/cent...409-heartbleed
Je sens que je vais avoir un peu de taf dans les jours qui viennent
Stephle 14/04/2014 à 22:54 -
Simara1170Membre éprouvéPourquoi on a viré sur un débat Libre/MS?
Pour revenir en arrière
quota approximative:
Si microsoft avait 3 fois une erreur comme ça, il aurait déjà fermé
-Windows 95?
-Windows Millenium?
-Windows Vista?
-Windows 8?
Tiens, j'suis à 4, et j'ai pas compté les failles trouvé sur les OS réputés solides de chez MS, la faille dans les fichiers de police sur Xp, c'était quand même bien mignon...
Et puis l'AV de Microsoft, une seule solution -> clic droit -> supprimer, ce truc est une vraie passoire, et passe juste en standard sur ta bécane OEM pour te forcer l'achat d'une suite logicielle entièrement MS. Puis c'est pas comme si MS avait contourné la loi avec Windows 8:
On ne peut plus tatouer les disque durs? Bah c'pas grave, aller on tatoue la CM (secure boot toussa toussa)
Faut arrêter de taper sur OpenSSL parce qu'il y a eu une faille. Y'a eu une merde dans un code open source? Et après? Y'en a jamais eu dans du code proprio? J'aurais tendance à dire qu'il y en a plus: ton code est fermé, alors tu peux programmer comme un gros sale, tu t'en fout, personne pourras le lire, et si un bug est remonté, tu t'en bat le zob tout autant, puisque t'auras déjà fait ton CA dessus, regarde avec Win8: "Vous voulez le retour du bouton démarrer? Ca feras 200€, parce que ça sera sur Win9" (perso, j'ai classic shell et ça m'a coûté 2 minutes de mon temps pour l'installer et le paramétrer...)
Bref, met la faille en regard d'un autre problème bien connu: le bug de l'an 2000: bawi tout est parti en vacances parce qu'on avait pas jugé utile de coder la date sur 4 chiffres...
Il y a eu une faille importante, et il y en aura d'autres à venir...
Petite aparté, sur les DDOS: il est quasiment impossible de se prémunir d'une attaque DDOS bien menée... Et puis une DDOS, c'est pas automatisée? Petite astuce, tape LOIC anonymous sur le Gogole, j'suis sûr que tu trouveras un petit programme adapté dans le cas d'attaque communautaire, et pour les pc zombies, c'est vrai que je vois bien le hacker se faire chier à véroler un par un ses 10k zombies...le 29/04/2014 à 9:40 -
Pierre GIRARDExpert éminentPersonnellement, j'ai vécu ce "Bug de l'an 2000" en astreinte, comme pratiquement tout le service. En fin de compte, il ne s'est rien passé pour nous (sur des applications et serveur UNIX). Mais, dès le lendemain, on a quand même appris que des problèmes avaient existé ailleurs.
Par contre, les services développement travaillaient sur ce problème depuis plus d'un an et étaient sensés avoir par avance résolu tous les problèmes potentiels.
Donc :
- Le bug de l'an 2000 n'était pas une farce.
- Ceux qui ont devancé le problème suffisamment à l'avance n'ont pas eu de bug.
Et d'ailleurs, le même arsenal préventif a été déployé quelques temps plus tard pour le passage à l'Euro.
C'est même grâce à ça qu'une prestation de service est passé de 6 mois à 18 mois, puis ... finalement et de fil en aiguille à 7 ans.le 01/05/2014 à 12:28