Heartbleed (le cœur qui saigne) c’est donc une faille dans le logiciel Open SSL, utilisé par plus d’une centaine de millier de serveurs et qui permet de sécuriser une communication entre le navigateur et un serveur distant. Cette faille repose sur une extension du logiciel SSL qui s’appelle heart beat (le cœur qui bat), qui permettait de garder une communication active entre le client et le serveur. La faille a lieu lors de la connexion qui se fait entre les deux. En temps normal, lorsque le client demande un mot de 4 lignes au serveur, et avec la faille, un attaquant peut demander au serveur de renvoyer aussi 64 Ko de données qui transitent sur le serveur. Dans ces données il peut y avoir des mots de passe, des clés de sécurité, des cookies de session, données qui ne doivent pas être consultées par un tiers etc.
C’est un chercheur sur la sécurité informatique allemand, contributeur bénévole à Open SSL, qui a ajouté une fonctionnalité dans le logiciel libre il y a deux ans, et qui a fait une erreur. C’est là qu’est apparue la faille. Le responsables du logiciel ne l’ont pas repéré, jusqu’au 21 Mars cette année ou une personne chez Google l’a trouvé (dans les 300 000 lignes de code).
Quelques jours plus tard, l’entreprise finlandaise Codenomicon identifie aussi la faille. Les recherches de failles s’intensifient beaucoup depuis l’affaire Snowden, qui a entre autre révélé que le NSA investissait beaucoup pour installer des backdoors (des failles de sécurité) dans certains logiciels, et pour identifier des failles de sécurité à exploiter pour espionner. Beaucoup de professionnels de la sécurité informatique et développeurs de logiciels libre ont alors entrepris des vérifications de codes sources de leurs logiciels pour être surs qu’ils ne puissent pas être exploités par la NSA. Il est donc de plus en plus courant de renforcer la sécurité des logiciels, des infrastructures et protocoles internet.
Codenomicon est spécialisé dans la détection de failles de sécurité et leur correction. Elle fait 60 à 70% de son chiffre d’affaire avec des industriels liés au marché de la défense, certains vont jusqu’à se demander s’ils ne travaillent pas aussi avec le ministère de la défense américaine, ou les services de défenses type NSA. Un des conseiller d’administration de la société aujourd’hui a été dans le passé l’un des responsables de la sécurité informatique gouvernementale sous George Bush et Obama, et à Microsoft. Codenomicon qui a identifié la faille quelques jours après Google, le baptise, (son nom originel est CVE-2014-0160) fait designer un logo, achète le nom de domaine heartbleed.com, et créé une page web qui explique la faille. C’est donc une campagne de publicité monumentale pour l’entreprise. Le buzz est repris par toute la presse américaine puis internationale quotidiennement depuis début Avril.
Est-ce alors un « coup de com » ? Ou du moins la menace est-elle grossie ? Pour Bruce Schneier, spécialiste reconnu de la sécurité informatique, heartbleed peut potentiellement avoir des effets catastrophiques, si elle a été exploitée depuis deux ans, mais pas si ce n’est pas le cas.
La police technique et scientifique n’est pas encore en mesure de dire depuis quand la faille est exploitée. Sachant que la majorité des sites web ont corrigé le bug dans les heures qui ont suivi l’annonce. Il n’est donc pas encore possible répondre à cette question…
A ce jour il n’y a que quelques cas connus de fuite d’informations liés à la faille: une autorité administrative au Canada qui a reconnu que 900 numéros d’assurance sociale lui avaient été volés, un forum de mamans en grande Bretagne visité par 1,5 million d’internautes et qui ne sait pas encore combien de mots de passe ont été compromis. Et il y a aussi Darty dont le site web de commerce électronique a été vulnérable pendant 48h, sans que l’on sache non plus l’étendue des fuites de données.
Des développeurs ont créé des scripts pour tester la faille sur les serveurs et tester si les corrections ont été faites pour les serveurs impactés. On peut par exemple aller sur heartbleed test, ou encore sur Qualys pour tester des sites En entrant l’adresse d’un site web on peut savoir si le serveur est vulnérable ou non. Cependant un serveur peut ne plus être vulnérable mais l’avoir été, quelques heures suffisent… De plus heartbleed ne laisse pas de traces, contrairement à certaines autres failles.
Pour le moment, sur les 500 000 serveurs potentiellement vulnérables, une dizaine de sites seulement ont communiqués ouvertement pour enjoindre leurs utilisateurs à changer leur mot de passe dont les contributeurs de wikipedia, Tumblr ou Darty.