Si vous êtes de ceux qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous serez surpris.
Cette semaine, Neel Mehta, un membre de l'équipe de sécurité de Google, a informé l'équipe de développement d'OpenSSL qu'un exploit existe avec la fonctionnalité "heartbeat" d'OpenSSL. Google a découvert le bug en travaillant avec la firme de sécurité Codenomicon pour essayer de pirater ses propres serveurs. Suite à la notification de Google, le 7 avril, l'équipe OpenSSL a publié son propre avis de sécurité avec un correctif d'urgence pour le bogue.
Bruce Schneier sur les mots de passe, la confidentialité et la sécurité Expert en sécurité Bruce Schneier Sur les mots de passe, confidentialité et confiance En savoir plus sur la sécurité et la confidentialité dans notre interview avec l'expert en sécurité Bruce Schneier. En savoir plus, car il utilise la fonctionnalité "heartbeat" d'OpenSSL pour tromper un système exécutant OpenSSL en révélant des informations sensibles qui peuvent être stockées dans la mémoire du système. Alors que la plupart des informations stockées dans la mémoire peuvent ne pas avoir beaucoup de valeur pour les pirates, la gemme serait de saisir les clés mêmes que le système utilise pour crypter les communications 5 façons de crypter en toute sécurité vos fichiers dans le nuage 5 façons de crypter vos fichiers en toute sécurité Cloud Vos fichiers peuvent être chiffrés en transit et sur les serveurs du fournisseur de cloud, mais la société de stockage en nuage peut les déchiffrer - et quiconque ayant accès à votre compte peut les voir. Client-côté ... Lire la suite.
Une fois les clés obtenues, les pirates peuvent alors décrypter les communications et capturer des informations sensibles comme les mots de passe, les numéros de cartes de crédit et plus encore. La seule exigence pour obtenir ces clés sensibles est de consommer les données cryptées du serveur assez longtemps pour capturer les clés. L'attaque est indétectable et introuvable.
Le bug Heartbeat OpenSSL
Les ramifications de cette faille de sécurité sont énormes. OpenSSL a été créé en décembre 2011 et est rapidement devenu une bibliothèque cryptographique utilisée par des entreprises et des organisations partout sur Internet pour crypter des informations et des communications sensibles. C'est le cryptage utilisé par le serveur web Apache, sur lequel sont construits près de la moitié des sites Internet.
Selon l'équipe OpenSSL, le trou de sécurité provient d'une faille logicielle.
"Une vérification des limites manquantes dans la gestion de l'extension de pulsation TLS peut être utilisée pour révéler jusqu'à 64k de mémoire à un client ou un serveur connecté. Seules les versions 1.0.1 et 1.0.2-beta d'OpenSSL sont concernées, y compris 1.0.1f et 1.0.2-beta1. "
Sans laisser de traces sur les logs du serveur, les pirates pourraient exploiter cette faiblesse pour obtenir des données cryptées de certains des serveurs les plus sensibles sur Internet, comme les serveurs web bancaires, les serveurs de cartes de crédit, les sites de paiement de factures, etc.
La probabilité que les pirates informatiques obtiennent les clés secrètes reste cependant remise en question, car Adam Langley, un expert en sécurité de Google, a posté sur son compte Twitter que ses propres tests ne révélaient rien d'aussi sensible que les clés de chiffrement secrètes.
Dans son avis de sécurité du 7 avril, l'équipe d'OpenSSL a recommandé une mise à niveau immédiate et une solution de rechange pour les administrateurs de serveurs qui ne peuvent pas mettre à niveau.
"Les utilisateurs concernés doivent passer à OpenSSL 1.0.1g. Les utilisateurs incapables de mettre à jour immédiatement peuvent également recompiler OpenSSL avec -DOPENSSL_NO_HEARTBEATS. 1.0.2 sera corrigé dans 1.0.2-beta2. "
En raison de la prolifération d'OpenSSL sur Internet au cours des deux dernières années, la probabilité que l'annonce de Google conduise à des attaques imminentes est assez élevée. Cependant, l'impact de ces attaques peut être atténué par le plus grand nombre d'administrateurs de serveurs et de responsables de la sécurité qui mettent à jour leurs systèmes d'entreprise vers OpenSSL 1.0.1g dès que possible.
Source: OpenSSL