OpenSSL : 300 000 serveurs encore vulnérables à Heartbleed
Certains administrateurs ne prennent pas la peine d'appliquer des correctifs

Le , par Hinault Romaric, Responsable .NET
Suite à l’annonce de Heartbleed dans OpenSSL, les sites Web, applications et autres plateformes ont appliqué en urgence des correctifs pour cette faille importante qui permettait d'accéder aux données sécurisées par TLS/SSL.

Cependant, deux mois après la découverte de la faille, de nombreux serveurs sont encore vulnérables à cette faille. Selon un récent rapport publié par le cabinet de sécurité Errata Security, près de 300 000 serveurs exécutent encore une version d’OpenSSL non corrigée.

Errata Security a pu identifier les serveurs encore vulnérables à OpenSSL en scannant simplement le port 443 couramment utilisé sur le Web pour les connexions HTTP.

Suite à cette analyse, Errata Security constate qu’au fil des mois, les administrateurs ont arrêté d’appliquer les correctifs de sécurité. À la découverte de Heartbleed, la firme de sécurité avait constaté que 600 000 systèmes étaient vulnérables. La moitié de ces serveurs ont été corrigés un mois après (il y avait encore environ 300 000 serveurs vulnérables suite au scan d’Errata Security).

Ce constat préoccupant révèle une situation assez fréquente dans l’industrie IT. L’application des correctifs des failles de sécurité n’est pas immédiate par les administrateurs. « Même dans une dizaine d’années, je m’attends toujours à trouver des milliers de systèmes encore vulnérables », demeure sceptique Errata Security.

Alors que Heartbleed, qui a été beaucoup médiatisée, n’a pas encore été corrigée par certains administrateurs, des correctifs pour sept autres vulnérabilités, dont l’une étiquetée comme critique, ont été publiés en début de ce mois.

Compte tenu du peu de tapage médique autour de ces autres vulnérabilités, ces correctifs pourraient être appliqués par un nombre encore plus faible de plateformes Web.

Source : Errata Security

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de vaadata vaadata - Candidat au Club https://www.developpez.com
le 23/06/2014 à 15:13
Ces chiffres montrent clairement à quel point la prise en compte du paramètre sécurité dans les projets web est médiocre.
Lorsque l'on regarde quelques statistiques sur le temps de correction des vulnérabilités sur un site Internet, on voit qu'il faut parfois 6 mois voire un an avant que les failles soient corrigées.
Heartbleed a fait beaucoup de bruit, certaines entreprises en ont même profité pour en faire une campagne marketing, mais au final ça n'aura pas suffit à mobiliser les bonnes personnes : celles qui devraient avoir pour responsabilité la sécurité des données des utilisateurs.
Fonctionnalités, ergonomie et design sont la priorité pour beaucoup d'entreprises, jusqu'au jour où un malheur arrive.
Avatar de Algo D.DN Algo D.DN - Membre éprouvé https://www.developpez.com
le 23/06/2014 à 15:39
Je ne pense pas qu'il soit question de tapage médiatique, c'est une constance quand on aborde les notions de sécurité, généralement quand on fait une estimation du risque c'est une certaine considération plus tangible qui l'emporte. pour certains (et DSI) l'esquive est un sport très apprécié.
Avatar de GTSLASH GTSLASH - Inactif https://www.developpez.com
le 23/06/2014 à 16:51
300 000 serveurs encore vulnérables à Heartbleed
Et combien de routeurs et d'autre périphériques nécessitant une mise à jour manuelle ?
bravo
Avatar de parrot parrot - Membre actif https://www.developpez.com
le 27/06/2014 à 8:32
En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables. Par ailleurs, cette forme de protection conduirait à un boycotte de fait, ce qui mettrait un peu de pression sur les firmes pour qu'elles mettent à jour leur librairie. On peut rêver...

Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 27/06/2014 à 9:54
Citation Envoyé par parrot Voir le message
Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
ChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.
Avatar de Pierre GIRARD Pierre GIRARD - Expert confirmé https://www.developpez.com
le 27/06/2014 à 13:01
Citation Envoyé par gangsoleil Voir le message
ChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.
C'est de la provocation, mais ...
Avatar de Algo D.DN Algo D.DN - Membre éprouvé https://www.developpez.com
le 27/06/2014 à 18:19
Citation Envoyé par parrot Voir le message
En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables. Par ailleurs, cette forme de protection conduirait à un boycotte de fait, ce qui mettrait un peu de pression sur les firmes pour qu'elles mettent à jour leur librairie. On peut rêver...

Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
Tu peux essayer ici:

https://www.trustworthyinternet.org/ssl-pulse/
https://www.ssllabs.com/ssltest/

Mais bon, les vulnérabilités ne sont pas uniquement induites via
l'implémentation d'SSL, certains sites même avec cette couche à jour
peuvent cacher d'autres failles :[ Il me semble même que les outils Mozilla sont capables d'afficher une boîte d'alerte si les sites posent problèmes.
Avatar de frederiks frederiks - Candidat au Club https://www.developpez.com
le 03/07/2014 à 18:10
Citation Envoyé par parrot Voir le message
En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables...
Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
Je suis d'accord avec toi pour ce qui est d'éviter les sites vulnérables et encore moins les achats en ligne. Et pour ta question, tu peux essayer Lastpass, c'est une application qui s'intègre à Firefox, Chrome, Android...Elle protège tes comptes et mots de passe en ligne, elle est étanche au bug heartbleed et elle t'avise si un de tes mots de passe est touché par heartbleed.
Frederiks,
Avatar de Michael Guilloux Michael Guilloux - Chroniqueur Actualités https://www.developpez.com
le 12/01/2015 à 11:55
OpenSSL : correction de huit failles dans la bibliothèque de chiffrement
pouvant entrainer des attaques DoS

Les administrateurs sont invités à mettre à jour à nouveau OpenSSL. De nouvelles versions d’OpenSSL - 1.0.1k, 1.0.0p et 0.9.8zd - viennent de sortir pour corriger huit vulnérabilités. Deux de ces vulnérabilités, de gravité modérée, peuvent faciliter les attaques par déni de service (DoS). Cependant, elles n'affectent que l'implémentation OpenSSL du protocole DTLS, qui n'est pas aussi largement utilisé que le protocole TLS.

La première, la vulnérabilité CVE-2014-3571 est une erreur de segmentation DTLS dans dtls1_get_record. Elle se traduit par un message DTLS qui « peut provoquer une erreur de segmentation dans OpenSSL due à une référence de pointeur NULL et pourrait conduire à une attaque DoS. » Les versions 1.0.1, 1.0.0 et 0.9.8 d’OpenSSL sont affectées par ce problème.

La deuxième vulnérabilité de sévérité modérée, CVE-2015-0206, est une fuite de mémoire dans DTLS dtls1_buffer_record et pourrait conduire à une attaque DoS par épuisement de la mémoire. Cette fuite de mémoire « peut se produire dans la fonction dtls1_buffer_record sous certaines conditions », notamment « si un attaquant envoyait des enregistrements DTLS répétés avec le même numéro de séquence, mais pour la période suivante. » Ce défaut affecte les versions 1.0.1 et 1.0.0 d’OpenSSL.

Les six autres vulnérabilités, CVE-2014-3569, CVE-2014-3572, CVE-2015-0204, CVE-2015-0205, CVE-2014-8275 et CVE-2014-3570, qui sont considérées comme à faible gravité, s’adressent à une variété de problèmes, dont certains impliquent des problèmes avec les certificats.

Même si ces vulnérabilités ne sont que gravité modérée ou faible, « les administrateurs système devraient prévoir de mettre à niveau leurs instances de serveur exécutant OpenSSL dans les prochains jours », a déclaré Tod Beardsley, directeur de l'ingénierie au sein du cabinet Rapid7. « Afin de maintenir un service fiable, OpenSSL devrait être mis à niveau ou remplacé par des bibliothèques SSL qui ne sont pas touchées par ces problèmes, comme LibreSSL. » A-t-il ajouté.

Par ailleurs, OpenSSL rappelle que le support pour les versions 1.0.0 et 0.9.8 prendra fin après le 31 décembre 2015, ce qui signifie que des mises à jour de sécurité ne seront plus fournies. La version 1.0.1, quant à elle, sera soutenue jusqu'au 31 décembre 2016.

Sources : SCMagazine, OpenSSL.org
Contacter le responsable de la rubrique Accueil