Heartbleed : « toute application mettant en œuvre la version d’OpenSSL défaillante est concernée»
Heartbleed : « toute application mettant en œuvre la version d’OpenSSL défaillante est concernée»
entretien avec Loïc Guezo, Security Evangelist
Des recherches s’accordent à montrer que le public intéressé par les actualités autour de Heartbleed, la vulnérabilité logicielle présente dans la bibliothèque de chiffrement open source OpenSSL depuis deux ans déjà (mars 2012) et découverte récemment (mars 2014), ne se limite pas seulement aux technophiles.
D’ailleurs, une étude menée par le Pew Research Foundation aux USA indique que « L’histoire d’Heartbleed enregistre pratiquement le même niveau d’audience publique que les négociations USA – Iran sur un accord visant à autoriser la surveillance du nucléaire en Iran (en novembre et décembre 2013) ainsi que celle qui parlait des évêques catholiques aux USA protestant contre les politiques de l’administration Obama, soutenant qu’elle restreignait les libertés religieuses (juillet 2012) ».
Dans l’optique d’apporter plus d’éclaircissements autour de cette faille, notamment sensibiliser sur les risques, connaître des outils de protection et etc, nous avons eu l’opportunité de nous entretenir avec Loïc Guezo, spécialiste de la cyber-sécurité, Security Evangelist Southern Europe et Directeur chez Trend Micro.
Developpez.com : Dans quelles mesures les terminaux mobiles sont-ils sensibles à Heartbleed ?
Loïc Guezo : tout le monde s'est focalisé sur les serveurs Web dans un premier temps. En effet, sur ces attaques, il a été très rapidement démontré que des données essentielles (clé privée, login + mot de passe, etc.) pouvaient être récoltées, que ce soit de façon aléatoire, auquel cas seul le lancement d’un grand nombre de requêtes suivi d’une analyse des données recueillies pouvait avoir un intérêt, ou de façon plus systématique, en ciblant une configuration, le reboot, etc., la première requête HeartBleed pêchant alors la clé privée RSA.
Dans un deuxième temps, il est apparu que les données des applications mobiles étaient elles aussi transmises à des serveurs centraux de collecte en utilisant des connexions sécurisées par les mêmes librairies OpenSSL…
Developpez.com : Quels sont les composants impactés ?
Loïc Guezo : les applications utilisant cette librairie, le téléphone agit en quelque sorte comme une terminaison serveur, ce qui complique la tâche de l’attaquant. Mais il est également apparu par la suite que la plateforme Android 4.1.1, qui représente près de 40% des terminaux vendus, était elle aussi directement concernée.
Developpez.com : Quels sont les risques pour les flottes de terminaux mobiles professionnels ?
Loïc Guezo : au-delà des risques décrits précédemment, la principale problématique des terminaux professionnels réside dans leur mise à jour. Cette dernière reste en effet complexe car elle dépend du partenaire ayant assemblé et vendu les terminaux…
Developpez.com : Quelles mesurent devraient prendre les utilisateurs des mobiles pour limiter les risques d’attaques ?
Loïc Guezo : avant tout, il leur faut vérifier que les applications utilisées et les serveurs dont elles dépendent ont bien été mis à jour par leur fournisseur respectif.
Et ensuite, changer les mots de passe des applications.
Loïc Guezo, spécialiste de la cyber-sécurité, Security Evangelist Southern Europe et Directeur chez Trend Micro
Developpez.com : Certains éditeurs de solutions de sécurité ont développé des applications permettant de savoir si un site Web ou un appareil Android est vulnérable. Trend Micro a-t-il développé un outil similaire ?
Loïc Guezo : oui, Trend Micro HeartBleed Detector via le Google Play. Cette application permet de scanner les applications installées sur le terminal de l’utilisateur et les serveurs avec lesquels elles communiquent, afin de déterminer si elles sont vulnérables à la faille OpenSSL. Si une application vulnérable est détectée, elle propose aussitôt à l’utilisateur de la désinstaller.
Developpez.com : En dehors du Google Play, les applications sur d’autres galeries (App Store et Windows Phone par exemple) sont-elles vulnérables ?
Loïc Guezo : toute application mettant en œuvre la version d’OpenSSL défaillante est concernée. La position officielle d’Apple est « Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key Web-based services were not affected ».
Developpez.com : Pour certains, Heartbleed est l’une des pires failles qu’auraient connu internet. Partagez-vous ce point de vue ?
Loïc Guezo : elle a la caractéristique d'avoir pu être utilisée pendant près de 2 ans, sans laisser de trace… Et après sa découverte, de nombreux serveurs étaient effectivement vulnérables. D'après les données de Netcraft, 66% des sites mondiaux utilisent OpenSSL, et 17% étaient susceptibles d'être victimes de Heartbleed, au 8 avril 2014.
Developpez.com : Avez-vous observé des attaques qui exploitent cette faille ?
Loïc Guezo : oui, en particulier après les premiers commentaires, nous avons pu observer une recrudescence (notamment de Chine) de tentatives d’exploitation de cette faille, parfois à des fins de tests en provenance d’utilisateurs ou d’outils fournis par les éditeurs de sécurité…
Au Canada, une interpellation a même eu lieu en avril, suite au vol de 900 numéros d’assurance sociale (NAS) sur le site des impôts via l’exploitation de la faille Heartbleed.
Télécharger Trend Micro HeartBleed Detector sur Google Play
Répondre avec citation
?
Partager