Vidéo: Long Term Wilderness Bug Out Bag, My Opinions. (Novembre 2024)
SSL, abréviation de Secure Sockets Layer, est ce qui place le S en HTTPS. Les utilisateurs avisés savent qu'il faut rechercher HTTPS dans la barre d'adresse avant de saisir des informations sensibles sur un site Web. Nos publications SecurityWatch répriment fréquemment les applications Android qui transmettent des données personnelles sans utiliser SSL. Hélas, le bug "Heartbleed" récemment découvert permet aux attaquants d'intercepter les communications protégées par SSL.
Le bogue s'appelle Heartbleed, car il se greffe sur une fonctionnalité appelée Heartbeat qui affecte des versions spécifiques de la bibliothèque cryptographique OpenSSL largement utilisée. Selon le site Web créé pour rendre compte de Heartbleed, la part de marché cumulée des deux plus grands serveurs Web open source utilisant OpenSSL s'élève à plus de 66%. OpenSSL est également utilisé pour sécuriser les e-mails, les serveurs de discussion, les VPN et "une grande variété de logiciels clients". C'est partout.
C'est mauvais, vraiment mauvais
Un attaquant tirant parti de ce bogue acquiert la capacité de lire les données stockées dans la mémoire du serveur affecté, y compris les clés de chiffrement très importantes. Les noms et les mots de passe des utilisateurs et la totalité du contenu crypté peuvent également être capturés. Selon le site, "Cela permet aux assaillants d’écouter les communications, de voler des données directement aux services et aux utilisateurs et de se faire passer pour des services et des utilisateurs".
Le site poursuit en notant que la capture de clés secrètes "permet à l'attaquant de déchiffrer tout trafic passé et futur destiné aux services protégés". La seule solution consiste à mettre à jour vers la toute dernière version d'OpenSSL, à révoquer les clés volées et à émettre de nouvelles clés. Même dans ce cas, si l'attaquant avait précédemment intercepté et stocké du trafic chiffré, les clés capturées le déchiffreraient.
Ce qui peut être fait
Ce bogue a été découvert indépendamment par deux groupes différents, deux chercheurs de Codenomicon et un chercheur en sécurité de Google. Ils suggèrent fortement qu'OpenSSL publie une version qui désactive complètement la fonctionnalité de pulsation. Avec cette nouvelle édition, les installations vulnérables pourraient être détectées car elles répondraient uniquement au signal de pulsation, permettant ainsi "une réponse coordonnée à grande échelle pour atteindre les propriétaires de services vulnérables".
La communauté de la sécurité prend ce problème au sérieux. Vous trouverez des notes à ce sujet sur le site Web US-CERT (États-Unis, Computer Emergency Readiness Team, par exemple). Vous pouvez tester vos propres serveurs ici pour voir s'ils sont vulnérables.
Hélas, il n’ya pas de fin heureuse à cette histoire. L'attaque ne laisse aucune trace. Même après qu'un site Web ait résolu le problème, il est impossible de savoir si des escrocs ont exploité des données privées. Selon le site Web Heartbleed, il serait difficile pour un système de prévention d'intrusion (IPS) de distinguer l'attaque du trafic crypté normal. Je ne sais pas comment cette histoire se termine; Je ferai un rapport quand il y a plus à dire.
