Faille HeartBleed - Sites web concernés et conseils pour se protéger

Dernière mise à jour le par CommentCaMarche .

Révélée en avril 2014, la faille critique HeartBleed fait partie des menaces les plus sérieuses ayant affecté la sécurité des échanges sur internet.

Cette vulnérabilité majeure a touché pendant deux ans certaines versions de la boîte à outils de chiffrement open source OpenSSL, qui est utilisée par de nombreux sites web pour sécuriser l'échange de données sensibles.

Les répercussions de cette faille sont encore inconnues, mais celle-ci a pu mener au vol de données sensibles sur de nombreux sites web. Quels services sont potentiellement concernés par cette faille ? Pour les internautes, quelles actions entreprendre afin de se protéger des conséquences éventuelles de HeartBleed ?

Qu'est-ce que la faille HeartBleed ?

HeartBleed est une vulnérabilité logicielle majeure affectant la bibliothèque open source de chiffrement OpenSSL, qui est utilisée pour gérer les échanges de données entre un poste client (ordinateur) et un serveur. L'extension au protocole de sécurisation des échanges SSL/TSL appelée « Heartbeat », qui est plus particulièrement concernée par cette faille, est mis en oeuvre quand deux serveurs sont sur le point d'entreprendre un échange sécurisé (crypté).
Le terme « HeartBleed » (« coeur qui saigne ») a ainsi été choisi pour désigner cette faille.
La faille HeartBleed impacte tous les sites web, applications mobiles et équipements réseaux qui utilisent OpenSSL dans sa version 1.0.1 et 1.0.1f.

Notez que la vulnérabilité peut toucher d'autres services s'appuyant sur le protocole SSL/TSL comme les services SMTP/POP3, FTP, OpenVPN ou IRC.
OpenVPN a confirmé cela : https://community.openvpn.net/openvpn/wiki/heartbleed
Le service SSH n'est à priori pas touché (n'utilisant pas TSL)

Ce que n'est pas HeartBleed

HeartBleed est une erreur de codage, et n'est donc pas un virus ni un logiciel malveillant.

Quand la faille a-t-elle été découverte ?

La faille HeartBleed a été mise en évidence en avril 2014 par la société de sécurité Codenomicon Defensics. Le bug est présent dans les versions des logiciels OpenSSL sorties depuis mars 2012 .

Quels sont les risques liés à HeartBleed pour les internautes ?

Selon les experts de sécurité informatique l'ayant mis en évidence, la faille HeartBleed permet à des pirates informatiques de récupérer ou d'intercepter sans laisser de trace :

  • Le contenu de la mémoire d'un serveur, y compris les messages sécurisés, les transactions bancaires, les informations de connexion client (login et mot de passe), ou encore les documents confidentiels.
  • Les clés secrètes des certificats électroniques de sécurité, utilisés pour chiffrer les échanges sur internet.

Avant que les correctifs soient apportés par les fabricants de serveurs web ou les sites web concernés (voir plus bas), les pirates ont donc potentiellement pu récupérer de nombreuses informations sensibles, pendant environ deux ans.

Etendue de la faille

La bibliothèque OpenSSL est massivement utilisée sur Internet pour permettre la sécurisation des échanges, notamment par les serveurs Web Apache et Nginx, qui représentent la majeure partie des serveurs Web du marché.
Tous ne sont cependant pas concernés par cette faille.
Certains experts de sécurité informatique estiment que 17 % des serveurs web dits sécurisés dans le monde, soit environ un demi-million de serveurs SSL, étaient concernés par la faille au moment de la découverte du bug.

Correctifs

Depuis la découverte de la faille, les fabricants de serveurs livrent des mises à jour matérielles et logicielles pour les serveurs affectés par la faille de sécurité HeartBleed.
De nombreux sites web concernés par la faille disent également avoir apporté un correctif (voir ci-dessous).

Principaux sites et services concernés par HeartBleed

Parmi les sites grand public concernés par la faille HeartBleed ayant indiqué avoir appliqué un patch de sécurité :
Au 15 avril 2014 :

  • Facebook
  • Google : Gmail, YouTube, Wallet, Google Play, Apps, et App Engine
  • Yahoo : Yahoo Mail, Flickr et Tumblr
  • Airbnb
  • Netflix
  • Dropbox
  • Box
  • Instagram
  • Twitter
  • Pinterest
  • Amazon Web Services
  • SoundCloud
  • LastPass
  • Evernote
  • IFTTT
  • Wordpress
  • GoDaddy

Plusieurs sites d'e-commerce sont également potentiellement concernés par HeartBleed.
Le 15 avril 2014, BlackBerry annonce qu'un correctif est en cours de déploiement pour son service Secure Work Space pour iOS and Android, solution utilisée pour séparer des contenus professionnels et personnels sur mobile, et sécuriser une flotte de smartphones dans l'entreprise.

Sites qui ne sont pas concernés par la faille

Certains sites n'utilisaient pas la version d'OpenSSL en cause ou n'utilisaient tout simplement pas la bibliothèque logicielle concernée par la faille.

Parmi ces sites/fournisseurs de service en ligne :

  • LinkedIn
  • Apple
  • Amazon
  • Microsoft, Hotmail/Outlook,
  • eBay
  • Groupon
  • PayPal
  • Evernote
  • 1Password.

Quelques recommandations aux internautes

Tester la vulnérabilité d'un site web à la faille HeartBleed

  • Une page dédiée permet de tester la vulnérabilité d'un site à la faille HeartBleed en entrant son URL : Filippo.io. Un autre site pour vérifier si un site est concerné.
  • Des extensions Chrome et Firefox permettent également de savoir si un site Web en particulier est concerné par cette faille de sécurité.

Tester la vulnérabilité sur d'autres services

Vous pouvez utiliser un script avec le scanneur nmap, la page suivante vous décrit la procédure :
https://forum.malekal.com/viewtopic.php?t=47452&start=

Suivre attentivement ses relevés bancaires

Certains sites d'e-commerce ont pu être victime d'attaques ayant mené au vol de données sensibles, permettant aux pirates de récupérer les données de cartes bancaires.
Certains experts de sécurité informatique recommandent donc de suivre attentivement les relevés de transactions effectuées sur les cartes bancaires précédemment utilisées pour des achats en ligne.

Se méfier des attaques par phishing dans le sillage de HeartBleed

La faille HeartBleed pourrait augmenter les attaques de phishing menées par mail : les pirates invitent alors les internautes à renouveler leur mot de passe sur certains services en ligne (réseaux sociaux, services bancaires, etc.), en les dirigeant vers de fausses pages web, afin de dérober leurs données d'identification à ces services.

Changer de mots de passe

Il est recommandé aux internautes de changer de mot de passe : cette opération doit être réalisée une fois que les sites web concernés ont apporté les correctifs nécessaires .
Dans la mesure où la faille HeartBleed a pu être exploitée pendant un intervalle d'au moins deux ans, un grand nombre de services peuvent être concernés.

Autres conseils de sécurité

En savoir plus

Cet article est régulièrement mis à jour par des experts sous la
direction de Jean-François Pillou, fondateur de CommentCaMarche.
Ce document intitulé « Faille HeartBleed - Sites web concernés et conseils pour se protéger » issu de Comment Ça Marche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.