Le bogue Heartbleed est une vulnérabilité OpenSSL qui permettrait à des pirates malveillants de voler des informations sur des sites Web qui seraient normalement protégés par le cryptage SSL / TLS. La bibliothèque de cryptographie open source OpenSSL est utilisée pour implémenter le protocole TLS (Transport Layer Security) d'Internet.
Nommé par les chercheurs qui ont découvert la faille de sécurité, le Heartbleed Bug permet théoriquement à quiconque sur Internet d'accéder à un serveur Web sécurisé exécutant certaines versions d'OpenSSL pour obtenir les clés de chiffrement du site, les mots de passe des utilisateurs et le contenu du site.
Selon le site officiel Heartbleed Bug, OpenSSL 1.0.1 à 1.0.1f (inclus) sont vulnérables tandis qu'OpenSSL version 1.0.1g corrige la faille de sécurité.
Création de défauts Heartbleed et découverte de bogues
Le bogue Heartbleed a été initialement découvert par l'ingénieur de Google Neel Mehta et la société de sécurité finlandaise Codenomicon. La faille de sécurité a été introduite dans le protocole de cryptage open source OpenSSL par le développeur de logiciels allemand Robin Seggelmann. Depuis que la faille est devenue largement connue, Seggelmann a déclaré que le bogue avait été manqué par inadvertance par lui-même et un autre réviseur de code et que le bogue n'avait pas été inséré de manière malveillante, malgré les théories du complot en ligne concernant Heartbleed, comme la NSA utilisant le bogue Heartbleed pour espionner.
Le bug Heartbleed dans les nouvelles
Rumeurs de bogue Heartbleed
La GRC a demandé à Revenu Canada de reporter l'annonce des vols de NAS
Le bug Heartbleed mord des millions de téléphones Android
Bug Heartbleed: ce qui est affecté et quels mots de passe vous devez changere
Les tests confirment que le bogue Heartbleed peut exposer la clé privée du serveur
Attaques sanglantes
Il existe peu de cas documentés d'attaques exploitant le bogue Heartbleed, mais les experts en sécurité préviennent que l'utilisation du bogue ne laisserait aucune trace et que tous les sites Web utilisant les versions d'OpenSSL affectées devraient être considérés comme compromis.
Alors que de nombreux grands sites, y compris Google, Facebook et d'autres ont rapidement noté que les services étaient «à l'abri» de Heartbleed, l'annonce publique du 8 avril 2014 semble avoir déclenché des attaques. L'Agence du revenu du Canada (ARC) a fermé ses services publics en ligne pour corriger la faille, mais avant la mise en œuvre du correctif, l'ARC a déclaré que 900 numéros d'assurance sociale avaient été volés sur les ordinateurs de l'ARC par des personnes exploitant le bogue Heartbleed.
Dans une autre attaque signalée, un site Web parental basé au Royaume-Uni, Mumsnet, affirme également avoir subi une brèche dans laquelle l'infiltré a affirmé avoir utilisé Heartbleed pour accéder à un compte. Le site a fourni des détails à ses utilisateurs ainsi que des instructions sur la réinitialisation des mots de passe du site.
Heartbleed: au-delà d'Internet
Le bogue Heartbleed s'étend au-delà d'Internet. Par exemple, les appareils mobiles exécutant le système d'exploitation Android 4.1.1 (sorti en 2012) ont le bogue logiciel Heartbleed. Toutes les autres versions sont à l'abri de la faille, mais cela laisse des millions de smartphones et de tablettes vulnérables. En outre, les systèmes d'exploitation, y compris Debian Wheezy (stable), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 et OpenSUSE 12.2 sont des versions livrées avec une version vulnérable d'OpenSSL (voir la liste complète).