Developpez.com

Le Club des Développeurs et IT Pro

OpenSSL : 300 000 serveurs encore vulnérables à Heartbleed

Certains administrateurs ne prennent pas la peine d'appliquer des correctifs

Le 2014-06-23 13:59:20, par Hinault Romaric, Responsable .NET
Suite à l’annonce de Heartbleed dans OpenSSL, les sites Web, applications et autres plateformes ont appliqué en urgence des correctifs pour cette faille importante qui permettait d'accéder aux données sécurisées par TLS/SSL.

Cependant, deux mois après la découverte de la faille, de nombreux serveurs sont encore vulnérables à cette faille. Selon un récent rapport publié par le cabinet de sécurité Errata Security, près de 300 000 serveurs exécutent encore une version d’OpenSSL non corrigée.

Errata Security a pu identifier les serveurs encore vulnérables à OpenSSL en scannant simplement le port 443 couramment utilisé sur le Web pour les connexions HTTP.

Suite à cette analyse, Errata Security constate qu’au fil des mois, les administrateurs ont arrêté d’appliquer les correctifs de sécurité. À la découverte de Heartbleed, la firme de sécurité avait constaté que 600 000 systèmes étaient vulnérables. La moitié de ces serveurs ont été corrigés un mois après (il y avait encore environ 300 000 serveurs vulnérables suite au scan d’Errata Security).

Ce constat préoccupant révèle une situation assez fréquente dans l’industrie IT. L’application des correctifs des failles de sécurité n’est pas immédiate par les administrateurs. « Même dans une dizaine d’années, je m’attends toujours à trouver des milliers de systèmes encore vulnérables », demeure sceptique Errata Security.

Alors que Heartbleed, qui a été beaucoup médiatisée, n’a pas encore été corrigée par certains administrateurs, des correctifs pour sept autres vulnérabilités, dont l’une étiquetée comme critique, ont été publiés en début de ce mois.

Compte tenu du peu de tapage médique autour de ces autres vulnérabilités, ces correctifs pourraient être appliqués par un nombre encore plus faible de plateformes Web.

Source : Errata Security

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
120 commentaires
  • GTSLASH
    Inactif
    300 000 serveurs encore vulnérables à Heartbleed
    Et combien de routeurs et d'autre périphériques nécessitant une mise à jour manuelle ?
    bravo
    le 23/06/2014 à 16:51
  • gangsoleil
    Modérateur
    Envoyé par parrot
    Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
    ChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.
    le 27/06/2014 à 9:54
  • vaadata
    Candidat au Club
    Ces chiffres montrent clairement à quel point la prise en compte du paramètre sécurité dans les projets web est médiocre.
    Lorsque l'on regarde quelques statistiques sur le temps de correction des vulnérabilités sur un site Internet, on voit qu'il faut parfois 6 mois voire un an avant que les failles soient corrigées.
    Heartbleed a fait beaucoup de bruit, certaines entreprises en ont même profité pour en faire une campagne marketing, mais au final ça n'aura pas suffit à mobiliser les bonnes personnes : celles qui devraient avoir pour responsabilité la sécurité des données des utilisateurs.
    Fonctionnalités, ergonomie et design sont la priorité pour beaucoup d'entreprises, jusqu'au jour où un malheur arrive.
    le 23/06/2014 à 15:13
  • Algo D.DN
    Membre éprouvé
    Je ne pense pas qu'il soit question de tapage médiatique, c'est une constance quand on aborde les notions de sécurité, généralement quand on fait une estimation du risque c'est une certaine considération plus tangible qui l'emporte. pour certains (et DSI) l'esquive est un sport très apprécié.
    le 23/06/2014 à 15:39
  • parrot
    Membre averti
    En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables. Par ailleurs, cette forme de protection conduirait à un boycotte de fait, ce qui mettrait un peu de pression sur les firmes pour qu'elles mettent à jour leur librairie. On peut rêver...

    Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
    le 27/06/2014 à 8:32
  • Pierre GIRARD
    Expert éminent
    Envoyé par gangsoleil
    ChromeBleed pour chrome, et HeartBleed pour firefox. Je n'utilise pas d'autres navigateurs, mais je suis certain que ca existe.
    C'est de la provocation, mais ...
    le 27/06/2014 à 13:01
  • Algo D.DN
    Membre éprouvé
    Envoyé par parrot
    En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables. Par ailleurs, cette forme de protection conduirait à un boycotte de fait, ce qui mettrait un peu de pression sur les firmes pour qu'elles mettent à jour leur librairie. On peut rêver...

    Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
    Tu peux essayer ici:

    https://www.trustworthyinternet.org/ssl-pulse/
    https://www.ssllabs.com/ssltest/

    Mais bon, les vulnérabilités ne sont pas uniquement induites via
    l'implémentation d'SSL, certains sites même avec cette couche à jour
    peuvent cacher d'autres failles :[ Il me semble même que les outils Mozilla sont capables d'afficher une boîte d'alerte si les sites posent problèmes.
    le 27/06/2014 à 18:19
  • frederiks
    Candidat au Club
    Envoyé par parrot
    En tant qu'utilisateur, je souhaite éviter les sites encore vulnérables...
    Existe-t-il des plugins pour navigateurs qui signalent que le site auquel on accède est vulnérable?
    Je suis d'accord avec toi pour ce qui est d'éviter les sites vulnérables et encore moins les achats en ligne. Et pour ta question, tu peux essayer Lastpass, c'est une application qui s'intègre à Firefox, Chrome, Android...Elle protège tes comptes et mots de passe en ligne, elle est étanche au bug heartbleed et elle t'avise si un de tes mots de passe est touché par heartbleed.
    Frederiks,
    le 03/07/2014 à 18:10
  Poster une réponse