Affectant OpenSSL, le bug Heartbleed est le gros bug qui fait peur et cela ne tient pas uniquement à sa qualification de " cœur qui saigne ". Ce bug est situé au niveau de l'extension heartbeat de TLS qui permet de s'assurer qu'une session est active, à savoir si un client et un serveur HTTPS sont toujours connectés pour des communications sécurisées.
Avec une requête heartbeat malveillante adressée à un serveur exécutant une version vulnérable d'OpenSSL, un attaquant peut récupérer une réponse de 64 ko de données de mémoire pouvant contenir des données non chiffrées. Notamment, des mots de passe voire des clés de chiffrement.
La correction de Heartbleed est en place dans des versions d'OpenSSL mais… À la divulgation de la vulnérabilité, la société de sécurité Errata Security a opéré une analyse du trafic IP sur le port 443 utilisé par les serveurs HTTPS. Le constat était alors que 615 268 étaient vulnérables à Heartbleed.
Un mois après ce premier scan, 318 239 systèmes étaient encore vulnérables et donc une réduction de près de moitié. Un peu plus de deux après, Errata Security observe que 309 197 serveurs sont toujours vulnérables.
Il y a donc une forme de stagnation. Si l'on peut considérer que tous les sites populaires ne sont plus vulnérables, le danger Heartbleed demeure d'actualité pour des sites de moindre ampleur qui rechignent à appliquer le correctif.
C'est plutôt inquiétant car Heartbleed a eu droit à une très grosse médiatisation. On peut alors se demander si ces petits sites vont un jour ou l'autre passer à la correction.
L'utilisateur doit faire preuve de prudence. Un outil en ligne comme celui-ci permet de savoir en saisissant une URL si un serveur est vulnérable ou non à Heartbleed. Par ailleurs, le conseil de sécurité consistant à utiliser des identifiants différents pour chaque service est à respecter.
Il serait dommage que des identifiants utilisés pour des sites " annexes " donnent accès à des comptes de première importance.
