Chers amis, l’heure est grave. Un bug vient d’être découvert dans la bibliothèque OpenSSL utilisée pour gérer la couche TLS/DTLS de nombreux logiciels (serveurs web, emails, messagerie instantanée, VPN…etc.). Découverte par une équipe de chercheurs en sécurité de Codenomicon et par un ingénieur en sécurité de Google, cette erreur d’implémentation permet de dérober des informations normalement chiffrées et les clés privées, ce qui je vous l’accorde fait plutôt mal.

Ce bug a un nom :  The Heartbleed Bug (Le bug du cœur saignant). Tout un programme !

En l’exploitant, un hacker (et la NSA ?) pourrait tout simplement lire la mémoire du système protégé par OpenSSL et ainsi voler les mots de passe, les clés de chiffrement, toutes les données qui transitent entre votre ordinateur et votre service préféré, et ensuite pouvoir se faire passer de manière transparente pour un service web ou un internaute… Même pas besoin de faire une attaque Man In The Middle et ça ne laisse aucune trace. Un PoC est dispo ici.

Alors, comment savoir si votre service est faillible ? Et bien toutes les versions d’OpenSSL 1.0.1 à 1.0.1f (inclus) SONT VULNÉRABLES.

Maintenant, je comprends pourquoi ça s’appelle « Open » SSL

Les versions 1.0.1g, 1.0.0 et 0.9.8 (ou antérieures) ne le sont pas. Que vous ayez un serveur sous Linux, ou une version Desktop, vous êtes potentiellement vulnérable. Pour connaitre la version d’OpenSSL que vous avez, il suffit d’entrer la commande :

openssl version

Il existe aussi un service en ligne qui permet de tester les services web. Il vous suffit de vous rendre ici et d’entrer le nom d’hôte du serveur à tester pour connaitre le verdict !

Mettez à jour vers la version 1.0.1g ou recompilez les sources d’OpenSSL avec le flag OPENSSL_NO_HEARTBEATS pour contourner le problème.

+ d’infos ici. Et bon courage !