Le bug « Heartbleed » est parfaitement décrit par ce dessin provenant du site xkcd qui à déjà du faire plusieurs fois le tour de la planète.
Pour le reste, voici ce que j’ai récemment appris.
Ok pour le dessin, mais en vrai ? Il se passe quoi ?
Et bien c’est vraiment ce qui est indiqué dans le dessin. Le bug vient d’un nouveau protocole ssl de keepalive « heartbit », conçu pour maintenir la session et éviter des renégociation de clef coûteuses en cpu. Ce protocole (récent et conçu correctement d’un point de théorique) à été mal implémenté dans openssl. C’est pour cela que seuls les versions récentes sont touchées. Et il se passe exactement ce qui est indiqué par xkcd. Ca peut paraître très con, mais c’est bien ce qui se passe.
Ce bug touche qui ou quoi exactement ?
Tous les serveurs web qui utilisent open ssl (apache…), les VPN ssl aussi… Tout ce qui utilise les librairies openssl. A contrario, cette faille NE CONCERNE PAS ssh, même si vous utiliser le mécanisme d’authentification par clef.
Quel est l’impact de ce bug ?
Tous les serveurs touchés ont pu être « surveillés ». En dumpant régulièrement des portions de leur mémoire (64k maximum) les attaquants ont pu avoir accès à de nombreuses informations. login, mots de passe, clefs privées… Le problème est justement que personne ne peut vraiment savoir qui à volé quoi.
Ok mais moi, en tant que particulier, je fais quoi ?
Par mesure de précaution, un changement de mot de passe sur tous les sites web sur lesquels vous avez des comptes serait une très bonne idée. Voir ici pour l’état des lieux sur les principaux fournisseurs de services.
Comment savoir si un site web précis est toujours vulnérable ?
La plupart des sites webs importants ont étés très vite mis à jour. Mais ce n’est pas parce qu’ils ne sont plus vulnérables qu’ils ne l’étaient pas auparavant, raison pour laquelle il faut de même changer son mot de passe en cas de doute. Pour tester un site web, vous pouvez par exemple utiliser un outil en ligne.
Il date de quand ce bug ?
Le « commit » de la mort aurait eu lieu dans la nuit du 30 décembre 2012. La faille aurait rapidement découverte par plusieurs acteurs mais : La NSA aurait préféré ne rien dire et utiliser cette faille a son avantage. Google, à préférer attendre qu’un correctif soit réaliser et soit près à être déployé partout avant de communiquer
Petite précision, ça ne concerne pas tous les sites web qui utilisent openssl mais seulement ceux dont la version est > 1.0.1.
Vos vieux serveurs sont en sécurité :):):)
Mais, par exemple, les versions stables de Debian et Ubuntu 12.04 LTS sont concernées