Gros bug Heartbleed : une erreur triviale et involontaire selon son auteur

Le par  |  12 commentaire(s)
Heartbleed-bug-logo

Il est celui qui a introduit le bug baptisé Heartbleed dans OpenSSL. Robin Seggelmann concède une erreur triviale mais aussi totalement involontaire alors que les théories du complot vont bon train.

C'est le gros bug qui fait peur. Dévoilé en début de semaine et baptisé Heartbleed, ce bug a été introduit dans un composant d'OpenSSL qui est une bibliothèque open source largement utilisée pour l'implémentation des protocoles de sécurisation des échanges SSL et son successeur TLS.

Heartbleed-bugEn cause, une erreur de programmation au niveau de l'extension heartbeat de TLS dont l'objectif est de s'assurer qu'une session TLS est active. Elle permet de vérifier si un client et un serveur sécurisé HTTPS sont toujours connectés pour des communications sur Internet.

Via l'envoi d'une requête heartbeat malveillante à un ordinateur exécutant une version vulnérable d'OpenSSL, un attaquant est à même de récupérer une réponse de 64 ko de données de mémoire susceptible de contenir des données non chiffrées comme par exemple des mots de passe ou pire encore des clés de chiffrement.

Extrêmement anxiogène même si l'attaquant n'a pas la possibilité de cibler des données qu'il souhaite récupérer et pêche en quelque sorte à l'aveugle. Avec sa requête malveillante, il récupère une réponse qui contient la requête initiale et les données dans l'emplacement mémoire proche.

Un patch a été déployé ou est en cours de déploiement. Il doit s'accompagner d'un renouvellement des clés de chiffrement. Toutes les versions d'OpenSSL n'étaient pas vulnérables (OpenSSL 1.0.1 à 1.0.1f) mais selon certaines estimations, 17 % des serveurs Web sécurisés étaient affectés soit une incidence pour un demi-million de sites.

Des outils en ligne permettent de connaître l'évolution de la situation dont les conséquences réelles ne sont pas encore connues. Le bug HeartBleed a en effet été introduit il y a presque deux ans et on ne sait pas si pendant ce laps de temps il y a eu des exploitations malveillantes.

Il n'est pas exclu que des fournisseurs demandent aux utilisateurs de modifier leur mot de passe, alors que le problème peut aussi avoir touché des services bancaires. Les équipementiers réseau Cisco et Juniper viennent par ailleurs de communiquer des listes de produits vulnérables. Il faudra alors appliquer une mise à jour pour corriger le problème, et ce sera plus long que pour les serveurs Web.


Un bug involontaire
Ce bug qui fait peur est l'œuvre du développeur allemand Robin Seggelmann qui était pour ainsi dire un illustre inconnu du grand public jusqu'à présent. Auteur d'une thèse sur les stratégies pour sécuriser les communications de bout en bout, il a reconnu une erreur tout à fait " triviale " avec un " impact grave ".

robin-seggelmanInterrogé par The Sydney Morning Herald, Robin Seggelmann a indiqué qu'il a travaillé sur l'amélioration d'OpenSSL et a soumis plusieurs corrections de bugs ainsi que de nouvelles fonctionnalités. Pour l'une d'entre elles, soit heartbeat, il a " oublié de valider la longueur d'une variable ". Un oubli qui n'a pas été détecté par le Britannique Stephen Henson lors de l'examen du code soumis. Spécialiste en chiffrement et sécurité informatique, Stephen Henson est l'un des quatre membres principaux du projet OpenSSL.

Robin Seggelmann assure que son erreur de programmation était parfaitement " involontaire ". Une précision qui n'est pas anodine en ces temps post-Snowden. Les théories du complot n'ont en effet pas tardé à faire leur apparition pour pointer du doigt un téléguidage de la NSA.

Il soutient n'être aucunement lié à une quelconque agence de surveillance. Pour autant, il reconnaît la possibilité théorique selon laquelle la NSA a pu découvrir le bug d'elle-même et l'exploiter discrètement durant ces deux dernières années.

Les projets open source sont désormais souvent mis en avant comme une sorte de garantie contre des tentatives d'espionnage de la NSA et consorts. Le code étant ouvert, il peut être examiné par tous et réduit d'autant plus le risque d'une introduction de backdoor.

L'affaire du bug Heartbleed est un petit coup de canif porté à cette assurance. Le vrai problème est néanmoins que certains projets dont ceux de l'importance d'OpenSSL mériteraient d'avoir plus de personnes œuvrant à l'examen du code.

Par ailleurs, on rappellera les tactiques de la NSA qui d'après les documents fuités par Edward Snowden n'a pas hésité à faire pression sur des organes de normalisation afin d'affaiblir à dessein des technologies de sécurisation. Et là, il n'est pas question d'open source...

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1713942
"Le code étant ouvert, il peut être examiné par tous"
=>Ce bug aura au moins eu le mérite de démontrer la quasi-vacuité de cet argument. Le code est ouvert et peut être examiné par tous, en pratique si on veut vraiment un truc blindé, il faut tout relire soi-même... ce qui n'est pas à la portée de beaucoup (pas en compétences mais ne serait-ce qu'en temps/argent !)
Le #1713952
Le chiffrement c'est de la confidentialité pas de la sécurité et associé à des idées débiles comme heartbeat, ce n'est plus qu'une source d'emmerdement de plus. Avec openssl ça se voit et ça peut se corriger, avec les autres implémentations, c'est sans espoir.
Le #1714162
Une preuve de plus si nécessaire que tout ce qui vient du monde libre n'est pas sérieux n si sécurisé.
Le #1714182
oldjohn a écrit :

Une preuve de plus si nécessaire que tout ce qui vient du monde libre n'est pas sérieux n si sécurisé.


Parce ce que chez ms c'est plus serieux?

http://www.generation-nt.com/windows-8-1-update-wsus-entreprise-bug-arret-deploiement-actualite-1874642.html
Le #1714312
Tux15 a écrit :

oldjohn a écrit :

Une preuve de plus si nécessaire que tout ce qui vient du monde libre n'est pas sérieux n si sécurisé.


Parce ce que chez ms c'est plus serieux?

http://www.generation-nt.com/windows-8-1-update-wsus-entreprise-bug-arret-deploiement-actualite-1874642.html


Sans vouloir prendre la défense de MS, mieux vaut un bon gros bug classique et qui fait splash rapidement qu'une faille de sécurité qui traîne en silence pendant 2 ans...
Le #1714392
bugmenot>>>le problème c'est que chez Kro$oft, y'a les 2.....
Le #1714462
@ bugmenot et oldjohn : tiens, on est vendredi, les gars ! J'avais pas remarqué, merci de nous envoyer des trolls bien velus, ça nous rappelle que demain c'est samedi ..

Par contre, vous repasserez pour nous faire croire,qu'un bon code bien hermétique à la sauce MS, c'est mieux pour la sécurité, qu'un code rendu public... c'est gentil, mais pour moi, ce sera NON , sans façons ...
Le #1714562
frèzetagada a écrit :

@ bugmenot et oldjohn : tiens, on est vendredi, les gars ! J'avais pas remarqué, merci de nous envoyer des trolls bien velus, ça nous rappelle que demain c'est samedi ..

Par contre, vous repasserez pour nous faire croire,qu'un bon code bien hermétique à la sauce MS, c'est mieux pour la sécurité, qu'un code rendu public... c'est gentil, mais pour moi, ce sera NON , sans façons ...


J'ai pas dit que le close source était mieux ! Je dis juste que "c'est ouvert tout le monde peut lire" ça ne veut pas dire "c'est ouvert donc quelqu'un a bien lu". Le lead dev de Freenet est d'ailleurs le premier à dire que Freenet n'est pas sécurisé...
Le #1714612
oldjohn a écrit :

Une preuve de plus si nécessaire que tout ce qui vient du monde libre n'est pas sérieux n si sécurisé.


c est vrai que chez apple, dans un environnement ferme, c est nettement plus serieux...

http://www.theguardian.com/technology/2014/feb/25/apples-ssl-iphone-vulnerability-how-did-it-happen-and-what-next

et chez MS aussi c est hyper serieux cote securite : http://www.generation-nt.com/xbox-live-faille-vulnerabilite-securite-acces-compte-decouverte-kristoffer-actualite-1874222.html
Anonyme
Le #1714992
tower41000 a écrit :

oldjohn a écrit :

Une preuve de plus si nécessaire que tout ce qui vient du monde libre n'est pas sérieux n si sécurisé.


c est vrai que chez apple, dans un environnement ferme, c est nettement plus serieux...

http://www.theguardian.com/technology/2014/feb/25/apples-ssl-iphone-vulnerability-how-did-it-happen-and-what-next

et chez MS aussi c est hyper serieux cote securite : http://www.generation-nt.com/xbox-live-faille-vulnerabilite-securite-acces-compte-decouverte-kristoffer-actualite-1874222.html


Oldjohn est un troll. Une fois qu'on a réussi à comprendre ça, on ne fait plus attention.

frèzetagada a écrit :

Par contre, vous repasserez pour nous faire croire,qu'un bon code bien hermétique à la sauce MS, c'est mieux pour la sécurité, qu'un code rendu public...



En informatique, il n'y a personne qui est tout blanc ou tout noir. On va dire que l'avantage du code fermé, c'est que si personne ne peut le lire il est plus difficile de trouver une faille.

Alors que le code ouvert, si un vilain pirate voit un truc et que personne d'autre ne l'a remarqué, il va continuer à garder le silence pour l'exploiter.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]