C'est le gros bug qui fait peur. Dévoilé en début de semaine et baptisé Heartbleed, ce bug a été introduit dans un composant d'OpenSSL qui est une bibliothèque open source largement utilisée pour l'implémentation des protocoles de sécurisation des échanges SSL et son successeur TLS.
Via l'envoi d'une requête heartbeat malveillante à un ordinateur exécutant une version vulnérable d'OpenSSL, un attaquant est à même de récupérer une réponse de 64 ko de données de mémoire susceptible de contenir des données non chiffrées comme par exemple des mots de passe ou pire encore des clés de chiffrement.
Extrêmement anxiogène même si l'attaquant n'a pas la possibilité de cibler des données qu'il souhaite récupérer et pêche en quelque sorte à l'aveugle. Avec sa requête malveillante, il récupère une réponse qui contient la requête initiale et les données dans l'emplacement mémoire proche.
Un patch a été déployé ou est en cours de déploiement. Il doit s'accompagner d'un renouvellement des clés de chiffrement. Toutes les versions d'OpenSSL n'étaient pas vulnérables (OpenSSL 1.0.1 à 1.0.1f) mais selon certaines estimations, 17 % des serveurs Web sécurisés étaient affectés soit une incidence pour un demi-million de sites.
Des outils en ligne permettent de connaître l'évolution de la situation dont les conséquences réelles ne sont pas encore connues. Le bug HeartBleed a en effet été introduit il y a presque deux ans et on ne sait pas si pendant ce laps de temps il y a eu des exploitations malveillantes.
Il n'est pas exclu que des fournisseurs demandent aux utilisateurs de modifier leur mot de passe, alors que le problème peut aussi avoir touché des services bancaires. Les équipementiers réseau Cisco et Juniper viennent par ailleurs de communiquer des listes de produits vulnérables. Il faudra alors appliquer une mise à jour pour corriger le problème, et ce sera plus long que pour les serveurs Web.
Un bug involontaire
Ce bug qui fait peur est l'œuvre du développeur allemand Robin Seggelmann qui était pour ainsi dire un illustre inconnu du grand public jusqu'à présent. Auteur d'une thèse sur les stratégies pour sécuriser les communications de bout en bout, il a reconnu une erreur tout à fait " triviale " avec un " impact grave ".
Interrogé par The Sydney Morning Herald, Robin Seggelmann a indiqué qu'il a travaillé sur l'amélioration d'OpenSSL et a soumis plusieurs corrections de bugs ainsi que de nouvelles fonctionnalités. Pour l'une d'entre elles, soit heartbeat, il a " oublié de valider la longueur d'une variable ". Un oubli qui n'a pas été détecté par le Britannique Stephen Henson lors de l'examen du code soumis. Spécialiste en chiffrement et sécurité informatique, Stephen Henson est l'un des quatre membres principaux du projet OpenSSL.
Robin Seggelmann assure que son erreur de programmation était parfaitement " involontaire ". Une précision qui n'est pas anodine en ces temps post-Snowden. Les théories du complot n'ont en effet pas tardé à faire leur apparition pour pointer du doigt un téléguidage de la NSA.
Il soutient n'être aucunement lié à une quelconque agence de surveillance. Pour autant, il reconnaît la possibilité théorique selon laquelle la NSA a pu découvrir le bug d'elle-même et l'exploiter discrètement durant ces deux dernières années.
Les projets open source sont désormais souvent mis en avant comme une sorte de garantie contre des tentatives d'espionnage de la NSA et consorts. Le code étant ouvert, il peut être examiné par tous et réduit d'autant plus le risque d'une introduction de backdoor.
L'affaire du bug Heartbleed est un petit coup de canif porté à cette assurance. Le vrai problème est néanmoins que certains projets dont ceux de l'importance d'OpenSSL mériteraient d'avoir plus de personnes œuvrant à l'examen du code.
Par ailleurs, on rappellera les tactiques de la NSA qui d'après les documents fuités par Edward Snowden n'a pas hésité à faire pression sur des organes de normalisation afin d'affaiblir à dessein des technologies de sécurisation. Et là, il n'est pas question d'open source...
