Heartbleed
Dans la nuit du lundi 7 au mardi 8 avril 2014, une équipe de chercheurs du Codenomicon et le chercheur Neel Mehta de Google Security ont découvert une faille dans la librairie open-source OpenSSL.
OpenSSL est une librairie utilisée pour gérer la couche SSL/TLS de nombreux logiciels (serveurs webs, webmails, VPN, messagerie instantanée…).
La faille, baptisée Heartbleed, est une vulnérabilité sérieuse dans le protocole d’encryption OpenSSL, utilisé pour chiffrer et sécuriser les connexions.
Potentiellement, cette faille permet de dérober des données normalement chiffrées et des clés privées.
Concrètement, cela signifie que toutes les données que nous avons considérées comme sécurisées ne l’étaient pas.
Heartbleed affecte approximativement 66 % des serveurs du monde entier et existe depuis décembre 2011.
En exploitant cette faille, un hacker peut lire 64 KB de la mémoire du système protégé par OpenSSL et ainsi voler les mots de passe, les clés de chiffrement, toutes les données qui transitent entre votre ordinateur et le serveur, et ensuite pouvoir se faire passer de manière transparente pour un service web ou un internaute…
Cela ne laisse aucune trace : un PoC est disponible.
Déterminer la version d’OpenSSL
Toutes les versions d’OpenSSL 1.0.1 à 1.0.1f inclus sont vulnérables. Pour savoir quelle version d’OpenSSL est actuellement installées sur votre système, tapez :
dpkg -s openssl | grep Version
La faille a été introduit dans OpenSSL en décembre 2011 et s’est retrouvé dans la nature avec la sortie d’OpenSSL 1.0.1 le 14 mars 2012.
OpenSSL 1.0.1g, sortie le 7 avril 2014, corrige Heartbleed.
Un service en ligne a également été lancé pour savoir si un serveur est impacté par Heartbleed.
Mettre à jour le serveur
Pour patcher la faille, il faut suivre ces quelques étapes.
Mettre à jour OpenSSL
apt update && apt upgrade
La nouvelle version d’OpenSSL qui corrige la faille est sortie le jour de l’annonce de l’existence de Heartbleed donc votre système de gestion de paquets devrait vous proposer la mise à jour.
Relancer tous les services utilisant OpenSSL
Lors de la mise à jour, OpenSSL dresse une liste des services qui dépendent d’OpenSSL et vous propose de les redémarrer : faîtes-le impérativement, c’est le seul moyen de patcher effectivement les services, en renouvellant leur liaison avec les nouveaux fichiers de la librairie.
Le mieux est probablement de rebooter le serveur, histoire de n’oublier aucun service.
Recréer un certificat SSL et regénérer un set de clés privées/publiques
Les clés privées ayant pu être récupérées via la faille, le contenu de ce qui était chiffré peut être déchiffré et tout ce qui sera chiffré dans le futur avec ces mêmes clés pourra potentiellement être déchiffré aussi.
Pour s’en prémunir, il vaut mieux recréer un certificat SSL et regénérer un set de clés privées/publiques.
Changer les mots de passe des services impactés
Il ne vous reste plus qu’à réinitialiser les mots de passe de vos utilisateurs et des services utilisant TLS qui auraient pu être récupérés.
Cette dernière étape est bien sûr à faire une fois qu’OpenSSL a été mis à jour, le serveur ou les services rebootés et le certificat SSL et les clés changés.
What now?
On aura rarement vu autant de serveurs impactés par une telle faille, qui a poussé nombre de sysadmin à rebooter leurs serveurs.
Pour nos données personnelles/confidentielles par contre, cela laisse un goût un peu amer, lorsque l’on sait que la faille existe depuis 2012 et que des sites comme Gmail, Yahoo, Facebook, Dropbox etc ont tous été impactés. Tout comme nos banques.
Vous voulez un site WordPress ou WooCommerce qui soit à la fois rapide et performant? Vous êtes au bon endroit.