Vidéo: Heartbleed Exploit - Discovery & Exploitation (Novembre 2024)
Les acronymes sophistiqués tels que TLS (Transport Layer Security) et SSL (Secure Sockets Layer) semblent compliqués pour ceux qui ne sont pas formés aux communications réseau. Vous vous attendriez à ce que l'attaque de Heartbleed, qui tire parti d'un bogue dans les communications sécurisées, soit extrêmement complexe et mystérieuse. Eh bien non. En fait, c'est ridiculement simple.
Quand ça fonctionne correctement
Tout d'abord, un peu de contexte. Lorsque vous vous connectez à un site Web sécurisé (HTTPS), vous établissez une sorte de poignée de main pour configurer la session sécurisée. Votre navigateur demande et vérifie le certificat du site, génère une clé de chiffrement pour la session sécurisée et le chiffre à l'aide de la clé publique du site. Le site le déchiffre à l'aide de la clé privée correspondante et la session commence.
Une simple connexion HTTP est une série d’événements non liés. Votre navigateur demande des données du site, le site les renvoie et le reste jusqu'à la prochaine demande. Toutefois, il est utile que les deux côtés d’une connexion sécurisée s’assurent que l’autre est toujours actif. L'extension de pulsation pour TLS permet simplement à un périphérique de confirmer la présence continue de l'autre en envoyant une charge utile spécifique que l'autre périphérique renvoie.
Un gros scoop
La charge utile de pulsation est un paquet de données qui comprend, entre autres, un champ qui définit la longueur de la charge utile. Une attaque Heartbleed implique de mentir sur la longueur de la charge utile. Le paquet de pulsations cardiaques malformé indique que sa longueur est de 64 Ko, le maximum possible. Lorsque le serveur bogué reçoit ce paquet, il répond en copiant cette quantité de données de la mémoire dans le paquet de réponse.
Qu'y a-t-il dans cette mémoire? Eh bien, il n'y a aucun moyen de le savoir. L'attaquant devra le parcourir en cherchant des motifs. Mais potentiellement, tout peut être capturé, y compris les clés de cryptage, les identifiants de connexion, etc. Le correctif est simple: assurez-vous que l'expéditeur ne ment pas sur la longueur du paquet. Dommage qu'ils n'aient pas pensé à le faire en premier lieu.
Réponse rapide
Comme l'exploitation de ce bogue ne laisse aucune trace, nous ne pouvons pas vraiment dire combien de données supposées sécurisées ont été volées. David Bailey, directeur de la technologie pour Cyber Security de BAE Systems Applied Intelligence, a déclaré: "Seul le temps dira si les cybercriminels sont capables d'exploiter cela pour acquérir des données personnelles sensibles, prendre en charge les comptes et identités des utilisateurs et voler de l'argent. Ce problème spécifique passera mais il met en évidence une caractéristique importante du monde connecté et illustre la nécessité pour les entreprises et les fournisseurs de sécurité d'être agiles dans la manière dont ils traitent de telles questions et d'adopter des techniques fondées sur le renseignement qui améliorent les défenses avant que les points faibles ne soient attaqués."
Il semble que la plupart des sites Web démontrent l'agilité requise dans ce cas. BAE a annoncé que le 8 avril, 628 des 10 000 meilleurs sites Web étaient vulnérables. Le 9 avril, hier, ce nombre était tombé à 301. Et ce matin, il était tombé à 180. C'est une réponse assez rapide; Espérons que les sociétés restantes s'emploient à résoudre le problème rapidement.
L'infographie ci-dessous illustre le fonctionnement de Heartbleed. Cliquez dessus pour l'agrandir.
