Qu'est-ce que la faille Heartbleed ?
Heartbleed est une faille SSL/TLS qui permet de lire une partie de la mémoire du serveur. Plus précisément, il s'agit d'un trou de sécurité dans OpenSSL, une librairie qui gère les échanges entre un client et le serveur en cryptant des informations.
La faille Heartbleed a été découverte par des ingénieurs de Codenomicon, qui l'ont révélée le le 7 avril 2014. Leurs tests sur leur propre système ont conclu qu'il était possible d'attaquer un système sans laisser de trace visible dans les logs. Sans connexion sécurisée, ils sont parvenus à dérober les clefs secrètes de leur serveur, les noms d'utilisateurs et leurs mots de passe ainsi que le contenu échangé par ces derniers sur les serveurs compromis.
Le développeur à l'origine du bug est un chercheur allemand du nom de Robin Seggelmann, auteur d'une thèse sur les stratégies de sécurisation des communications. Lors de la création d'un mise à jour OpenSSL dénommée "heartbeat", il aurait oublié de valider la longueur d'une variable. Il considère l'erreur triviale, mais reconnaît la gravité extrême de son impact. Le Britannique Stephen Henson, qui est l'un des quatre membres principaux du projet OpenSSL, reconnaît ne pas avoir détecté cette erreur.
La faille est-elle volontaire ?
Certains experts considèrent que la faille a été délibérément créée pour le compte de la NSA, ce que Robin Seggelmann dément catégoriquement. Il a participé à OpenSSL sur son temps libre, dans l'esprit du logiciel libre, et se dit en relation d'aucune manière que ce soit avec la NSA.
D'où vient le nom Heartbleed ?
Le mot "heartbeat" qui signifie "battement de coeur", désigne en informatique une façon pour un système de vérifier la présence d'un autre, sous la forme d'un envoi et d'une réponse rappellant le battement du coeur. La faille survient dans l'implémentation de cet échange, où un système pouvait demander à l'autre de ne pas renvoyer une simple validation de sa présence, mais jusqu'à 64 000 caractères (ou 64 k). D'où le nom "Heartbleed", qui signifie "saignement du coeur".
Quelles informations peut-on récupérer avec la faille Heartbleed ?
Les pirates exploitant cette faille récupérent de manière aléatoire des données provenant de la mémoire vive du serveur, qui peuvent être totalement inutiles ou bien stratégiques, comme par exemple les identifiants des derniers utilisateurs s'étant connectés au service. Il s'agit d'une faille difficile à détecter pour l'administrateur d'un site ou d'un service web, car la récupération de données via Heartbleed ne laisse pas de trace.
Quels systèmes sont touchés par la faille Heartbleed ?
La faille touche les serveurs OpenSSL ayant effectué en 2011 la mise à jour du logiciel dénommée Heartbeat. Parmi les services touchés par Heartbleed, figurent des solutions aussi populaires que les Web Services d’Amazon, les messageries Gmail ou Yahoo, les banques d'images Flickr et Imgur, mais aussi des solutions telles que Facebook, Instagram, Twitter, etc. Des tests conduits sur les principaux sites au monde établissent qu'environ 5 % d'entre eux ont été affectés.
Il est à noter que ce ne sont pas seulement les sites web qui ont été affectés, mais également les PC, tablettes et les smartphones.
Comment savoir si un service est affecté ?
Divers services gratuits en ligne, recensés à cette page, permettent de savoir si un service est affecté.
Est-ce que la faille Heartbleed est réparée ?
Les correctifs nécessaires à la suppression de la faille Heartbleed sont disponibles sur le site d'OpenSSL : openssl.org/news/secadv_20140407.txt
Sur les sites ayant effectué les mises à jour, il n'est plus possible d'exploiter cette faille pour récupérer un grand nombre de données.