La Fed demande aux banques de remédier « le plus vite possible » à la faille découverte dans les protocoles Internet sécurisés.
Le fisc canadien, trois semaines avant la date de dépôt des déclarations d’impôts, a décidé de désactiver son site.
664088_0203438155142_web_tete
Les régulateurs du secteur bancaire aux Etats-Unis ont demandé aux banques de remédier « le plus vite possible » à une sérieuse faille de sécurité découverte sur un logiciel largement utilisé pour les connexions sécurisées, selon un communiqué de la Réserve fédérale (Fed). Les régulateurs « attendent des institutions financières qu’elles mettent en place des mises à jour de sécurité sur les systèmes, services, applications et matériels utilisant le logiciel OpenSSL et qu’elles mettent à jour ces systèmes le plus vite possible pour remédier à cette vulnérabilité », indique le communiqué de la Banque centrale américaine.
images (12)
La faille, baptisée « Heartbleed » (« coeur qui saigne »), touche certaines versions d’OpenSSL, un logiciel libre de cryptage très utilisé pour les connexions sécurisées sur Internet, matérialisées par exemple par une adresse démarrant par https ou un petit cadenas lors des transactions bancaires et de l’identification sur un site Internet. Elle existe depuis le 31 décembre 2011, précise la Fed.
images (4)
« La faille peut permettre à un pirate d’accéder aux clés cryptographiques et de compromettre la sécurité du serveur ainsi que de ses utilisateurs », précise le communiqué. « Des pirates peuvent prendre l’aspect de services bancaires ou celui d’utilisateurs, voler les mots de passe, avoir accès à des courriels sensibles ou à des réseaux internes », avertit encore la Fed.

La moitié des sites Web potentiellement concernés

L’agence du revenu du Canada (ARC) a de son côté désactivé mercredi le volet de son site internet permettant aux contribuables d’accéder à leurs dossiers fiscaux, en raison d’une importante faille découverte dans un logiciel de cryptage. « Nous avons été informés d’une vulnérabilité informatique connue sous le nom de Heartbleed », indique l’ARC sur sa page d’accueil. « Par mesure de précaution, l’ARC a temporairement suspendu tout accès public à ses services en ligne afin de protéger l’intégrité des renseignements que nous détenons », souligne l’agence, s’engageant à réactiver les pages fermées « le plus rapidement possible ». Cette mesure exceptionnelle est prise trois semaines avant la date de dépôt des déclarations d’impôts des Canadiens, dont une majorité recourent justement à ce site web. L’ARC s’est engagée à « tenir compte » de la situation si des contribuables devaient déposer leurs déclarations en retard.,

  • Où se situe cette faille ?
    images (3)
    La faille, découverte au sein du logiciel OpenSSL, a été baptisée « Heartbleed » (« cœur qui saigne ») en référence au mode de fonctionnement du logiciel. Ce dernier est chargé de mettre en œuvre un moyen de protection utilisé quotidiennement par des centaines de millions d’internautes, les protocoles TLS/SSL. Ces derniers, malgré leur appelation obscure, sont fondamentaux. Ils permettent à votre navigateur Internet d’authentifier la page sur laquelle vous vous connectez, mais surtout de camoufler mots de passe, codes de cartes bancaires et plus généralement toutes les données que vous échangez avec ce site. C’est cette technologie qui est symbolisée par l’affichage de la fameuse icône en forme de cadenas dans la barre de navigation. Outre les sites Web, cette technologie est également utilisée par de nombreux services sur Internet (messageries, applications…).
    téléchargement
    OpenSSL, installé sur le serveur du site auquel l’internaute se connecte, est un logiciel chargé de mettre en œuvre cette protection. Il s’agit d’un des outils favoris des sites Web : selon le site américain The Verge, deux serveurs sur trois pourraient être concernés. Si la faille ne touche pas toutes les versions du logiciel, elle est vieille d’environ deux ans.
  • Est-ce que c’est grave ?
    images (5)
    Oui. Cette faille permet à d’éventuels pirates de récupérer des informations stockées sur la mémoire des serveurs du site vulnérable. Des informations personnelles censées être inaccessibles et protégées : plusieurs experts sont aisément parvenus à retrouver des mots de passe d’utilisateurs de sites vulnérables.
    « Le nombre d’attaques qu’ils peuvent effectuer est sans limite »indique Fox-IT, entreprise spécialisée dans la sécurité informatique. Mais s’il s’agit d’une faille majeure, ses contours précis et sa portée réelle sont encore flous.
    téléchargement (1)
    Enfin, il est envisageable que les certificats, sorte de clé de voûte de la sécurisation des données par TLS/SSL, censés être privés et très protégés, aient été rendus accessibles par la faille. Ce qui signifie que même lorsque la faille d’OpenSSL sera corrigée et la nouvelle version appliquée aux sites vulnérables, des assaillants qui ont préalablement intercepté la clé nécessaire au déchiffrement des données protégées seront encore en mesure d’y accéder.
    images (7)
    « Ce sont les joyaux de la couronne, les clés de chiffrement elles-mêmes », souligne le site Heartbleed.com. Ces clés « permettent aux pirates de déchiffrertous les trafics, passés et à venir, vers les services protégés et d’imiter ces services ».
    images (6)
    Il est également possible que les « cookies », ces fichiers qui stockent vos identifiants sur un site afin de vous identifier, soient également accessibles, ce qui permet potentiellement à un assaillant de se connecter en votre nom au site en question.

Adam Langley, un informaticien de Google qui a participé à la correction de la faille, est cependant plus mesuré, et explique n’avoir pu accéder lors de ses tests qu’à des informations très parcellaires.

ssl

  • Quels sites sont touchés ?
    images (14) images (15) téléchargement (2) téléchargement (3)
    OpenSSL étant utilisé par un très grand nombre de sites et de services, la faille est très répandue. Cette faille, très importante, a mobilisé d’importantes ressources au sein des grandes entreprises, et nombre d’entre elles ont déployé des correctifs assez rapidement. Des « géants » de l’Internet, seul Yahoo! a été semble-t-il concerné (la faille y a été, depuis, corrigée). Apple, Google, Microsoft et la majorité des sites d’e-commerce et bancaires ne le sont pas – il existe plusieurs manières d’implémenter OpenSSL, ainsi que des systèmes alternatifs, et toutes les versions ne sont pas touchées. Selon le site Mashable« Facebook et Twitter utilisent OpenSSL sur certains de leurs serveurs mais il n’est pas encore établi s’ils sont vulnérables ou pas ». « Facebook a effectué une mise à jour de sécurité, tout comme Google », précise le site. Le réseau social ainsi que Yahoo! ont recommandé à leurs utilisateurs d’échanger leurs mots de passe, écrit le Washington Post.
    Mais de plus petits sites, traitant des données confidentielles, peuvent mettre davantage de temps à être protégés. Par ailleurs, il faut noter que certains sites, pourtant vulnérables, ne traitent pas d’informations sensibles.
Le site Filippo.io/heartbleed permet de tester si un site est vulnérable ou non. Ouf, nous sommes saufs. 
  • Que faire ?
    ddf
    Dans un monde idéal, il faudrait éviter les activités sensibles (courriels, banque, achats…) sur Internet pendant quelques temps. C’est ce que recommande par exemple un billet publié sur le site de Tor, un système d’anonymisation sur Internet.
    cx
    Dans un premier temps, pour les utilisateurs lambda, changer de mot de passe est inutile, et peut même être contre-productif. En effet, si la faille d’OpenSSL n’est pas corrigée sur le site, le nouveau mot de passe pourra être visible à son tour. Il faut donc, avant tout, attendre que les responsables des sites vulnérables mettent à jour leurs dispositifs de sécurité. Puis, pour l’utilisateur, relancer le site ou le service pour que ces nouvelles protections s’appliquent.
    images (11)
    Il est conseillé de surveiller, dans les prochains jours, les annonces des sites que vous utilisez afin de s’assurer qu’ils prennent les mesures nécessaires. En cas de doute, le site Filippo.io/Heartbleed permet de tester si un site est vulnérable ou non. Une liste (non exhaustive) est disponible ici. En revanche, certaines mesures nécessaires ne sont pas détectées par ce site, comme le renouvellements des certificats ou des mots de passe des administrateurs.
    Enfin, soyez particulièrement vigilants quant aux courriels que vous recevrez dans les prochains jours. Certains adeptes du phishing (vous faire croire que vous allez sur le site de votre banque, par exemple, alors qu’il s’agit d’un site pirate), pourrait utiliser certaines des données interceptées pour vous cibler.

The Heartbleed Bug
heartb
The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bugA
images (16)
llows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.
4397996_3_1467_une-faille-presente-depuis-deux-ans-environ_22101825876cd890080a0b0683b8afb9
What leaks in practice?
images (9)
We have tested some of our own services from attacker’s perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

How to stop the leak?
images (8)
As long as the vulnerable version of OpenSSL is in use it can be abused. Fixed OpenSSL has been released and now it has to be deployed. Operating system vendors and distribution, appliance vendors, independent software vendors have to adopt the fix and notify their users. Service providers and users have to install the fix as it becomes available for the operating systems, networked appliances and software they use.

Who found the Heartbleed Bug?
images (10)
This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) atCodenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon’s Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.

What is the Defensics SafeGuard?
images (11)
The SafeGuard feature of the Codenomicon’s Defensics security testtools automatically tests the target system for weaknesses that compromise the integrity, privacy or safety. The SafeGuard is systematic solution to expose failed cryptographic certificate checks, privacy leaks or authentication bypass weaknesses that have exposed the Internet users to man in the middle attacks and eavesdropping. In addition to the Heartbleed bug the new Defensics TLS Safeguard feature can detect for instance the exploitable security flaw in widely used GnuTLS open source software implementing SSL/TLS functionality and the « goto fail; » bug in Apple’s TLS/SSL implementation that was patched in February 2014.

Who coordinates response to this vulnerability?
images (12)
NCSC-FI took up the task of reaching out to the authors of OpenSSL, software, operating system and appliance vendors, which were potentially affected. However, this vulnerability was found and details released independently by others before this work was completed. Vendors should be notifying their users and service providers. Internet service providers should be notifying their end users where and when potential action is required.

Is there a bright side to all this?
images (13)
For those service providers who are affected this is a good opportunity to upgrade security strength of the secret keys used. A lot of software gets updates which otherwise would have not been urgent. Although this is painful for the security community, we can rest assured that infrastructure of the cyber criminals and their secrets have been exposed as well.

Where to find more information?
images (7)

This Q&A was published as a follow-up to the OpenSSL advisory, since this vulnerability became public on 7th of April 2014. The OpenSSL project has made a statement athttps://www.openssl.org/news/secadv_20140407.txt. NCSC-FI published an advisory athttps://www.cert.fi/en/reports/2014/vulnerability788210.html. Individual vendors of operating system distributions, affected owners of Internet services, software packages and appliance vendors may issue their own advisories.

References

Publicités

Bon comme un citron bien rond !

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :