OpenSSL : bug de sécurité critique pour la bibliothèque de chiffrement

La bibliothèque open source de chiffrement OpenSSL est déployée dans de nombreuses distributions Linux et se retrouve dans OS X. Elle est aussi utilisée par plusieurs serveurs Web populaires dont Apache et Nginx, des plateformes de cloud telles que CloudFlare.

Le projet OpenSSL sonne l'alerte au sujet d'une vulnérabilité qui affecte les versions 1.0.1 à 1.0.1f (ainsi que 1.0.2-beta). Le cas échéant, une mise à jour OpenSSL 1.0.1g est à appliquer sans tarder par les administrateurs d'un serveur qui doivent également révoquer des clés pour en produire de nouvelles.

Le bug de sécurité - qui est un problème d'implémentation - a été découvert par des chercheurs de Codenomicon et un chercheur de Google Security. Selon le projet OpenSSL, un manque de vérification de rebonds dans l'extension heartbeat de TLS peut être utilisé pour dévoiler en clair jusqu'à 64 ko de données de mémoire d'un client connecté ou serveur.

Codenomicon écrit que l'exploitation de ce qui est baptisé " bug Heartbleed " permet à " quiconque sur Internet de lire la mémoire de systèmes protégés par des versions vulnérables d'OpenSSL ", et évoque la compromission des clés secrètes utilisées pour identifier le fournisseur de service et chiffrer le trafic, les noms et mots de passe des utilisateurs.

Des explications plutôt inquiétantes comme tout ce qui touche aux communications via HTTPS avec bien souvent l'implémentation en maillon faible. Le bug a été introduit dans OpenSSL en décembre 2011. Il est dans la nature depuis la publication d'OpenSSL 1.0.1 en mars 2012.

Codenomicon propose en outre une liste des systèmes d'exploitation qui ont été livrés avec une version vulnérable d'OpenSSL : Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, Fedora 18, OpenBSD 5.3 et 5.4, FreeBSD 8.4 et 9.1, NetBSD 5.0.2, openSUSE 12.2.