La faille de sécurité majeure « Heartbleed » met en danger les services critiques

Plus de la moitié d'Internet pourrait avoir été compromise par une faille de sécurité vieille de deux ans qui pourrait également affecter un certain nombre de services Bitcoin en ligne, a-t-on appris aujourd'hui.

La vulnérabilité, nommée «Heartbleedaffecte les versions d'OpenSSL, une implémentation open source des protocoles de sécurité Internet SSL et TLS qui chiffrent et sécurisent le trafic Internet, notamment les mots de passe, les messages, le commerce électronique et les transactions bancaires, ainsi que d'autres données sensibles, notamment les réseaux privés virtuels (VPN). OpenSSL est la bibliothèque logicielle la plus utilisée à cette fin.

Deux ans

La faille Heartbleed serait connue des chercheurs depuis 2011, et même des pirates informatiques depuis 2012. Cela signifie que des données critiques sur une grande partie d'Internet sont accessibles au public depuis des années. Aucun exploit n'a été signalé, bien que les attaques ne laissent aucune trace.

Les administrateurs de sécurité du monde entier appliquent désormais rapidement un correctif et modifient les certificats et les clés Secret au cas où ils auraient été compromis.

Étant donné qu'il affaiblit tout site utilisant le protocole https « sécurisé », la menace ne concerne T spécifiquement les services Bitcoin tels que les portefeuilles et les plateformes d'échange. Cependant, compte tenu de la tendance des autorités à ignorer les vols de Bitcoin ou de leur incapacité à les enquêter efficacement, il pourrait rendre les services Bitcoin plus vulnérables que les services financiers en ligne « traditionnels » ou d'autres plateformes critiques.

Testez les sites de vos services

expert italien en sécuritéPhilippe Valsordaconstruit untest en lignequi permet à quiconque de saisir le nom d'hôte d'un serveur pour voir s'il est affecté. Il a également publié le code source ouvert du test.sur GitHub.

Au moment de la rédaction de cet article, la saisie des principales adresses de services Bitcoin sur le site de Valsorda a montré que Blockchain, Coinbase et BitPay étaient sûrs, mais que l'échange le plus populaire au monde, Bitstamp, sont restés vulnérables.

Valsorda était également plus préoccupé par les services Bitcoin en ligne que par tout ce qui est inhérent à d'autres implémentations, affirmant qu'il était « simple à exploiter et pas si QUICK à corriger ».

« Il est fondamental de dire à tout le monde de vérifier tous leurs serveurs et de les mettre à jour dès que possible [...] Je T peux évidemment pas en être certain, mais les logiciels spécifiques au bitcoin (portefeuilles locaux, ETC) ne devraient pas être affectés même s'ils utilisent OpenSSL, puisque le bug n'est déclenchable que dans les connexions TLS en direct. »

« Cependant, presque tout ce qui est public dans l'écosystème Bitcoin est (à juste titre) sécurisé avec TLS (pensez à tous les portefeuilles Web, aux échanges, mais aussi aux API et aux serveurs de messagerie) et potentiellement (probablement) affecté. »

Se précipiter pour corriger les logiciels et faire tourner les certificats

On estime que plus de 50 % des serveurs Internet utilisent une forme d'OpenSSL (et probablement bien plus). L'idée que plus de la moitié des données sensibles d'Internet aient pu être exposées en deux ans a laissé les services de sécurité perplexes.

En exploitant Heartbleed, un attaquant pourrait accéder à la mémoire vive des systèmes affectés, ce qui lui permettrait d'accéder simultanément à 64 kilo-octets de données, soit suffisamment pour accumuler les connaissances nécessaires à l'accès aux clés Secret d'un système. Ces clés servent à chiffrer et déchiffrer le trafic sensible et à identifier les fournisseurs de services.

Une fois les clés Secret obtenues, les attaquants peuvent lire ouvertement tout trafic vers et depuis un serveur ou se faire passer pour des services et des utilisateurs.

Les attaques sur un système vulnérable ne nécessitent pas de techniques d'interception et ne laissent aucune trace, laissant les administrateurs système sans moyen sûr de savoir si leurs systèmes ont été compromis.

L’ampleur des dégâts potentiels a laissé certains perplexes :

Heartbleed est un bug RARE : une défaillance dans une bibliothèque de Crypto qui divulgue des données au-delà de ce qu'elle protège. C'est pire que l'absence totale de Crypto .





– Matt Blaze (@mattblaze) 8 avril 2014

Mike Hearn

, développeur et président du Comité des lois et des Juridique de la Fondation Bitcoin , a déclaré qu'il espérait que l'impact sur les services Bitcoin serait limité, mais a noté que les services Bitcoin n'utilisaient T toujours les meilleures pratiques en matière de sécurité :

« J'espère que l'impact sera limité. Les principaux sites devront faire tourner leurs clés SSL après la mise à niveau [...] La plupart des sites devraient avoir les clés privées de leurs portefeuilles dans un processus serveur différent où les données ne peuvent pas être extraites de cette façon. Cependant, cela ne me surprendrait pas si quelques sites ne fonctionnent pas de cette façon pour une raison quelconque et pourraient subir des vols. »

Les entreprises réagissent

Suite à cette nouvelle, de nombreux échanges de Bitcoin et d'altcoins se sont tournés vers Twitter pour publier des réponses officielles et informer les utilisateurs de leurs progrès dans la résolution de la faille.

#BitstampSuite aux récentes actualités concernant OpenSSL, Bitstamp désactive ses fonctions d'enregistrement, de connexion et de retrait de devises virtuelles par mesure de précaution.

— Bitstamp (@Bitstamp)8 avril 2014

Dans une interview avec CoinDesk, le PDG de Bitstamp, Nejc Kodrič, a révélé que bien que la société ait corrigé ses serveurs avec succès, son fournisseur d'atténuation DDoS, Incapsula, doit faire de même pour garantir une sécurité totale.

Par conséquent, la bourse a choisi de rester « du côté sûr » etdésactiver temporairement enregistrements de compte, connexions de compte et toutes les fonctions de retrait de monnaie virtuelle.

D'autres échanges ont depuis publié des déclarations similaires via la plateforme, notamment Bitfinex, un ajout récent àBPI de CoinDesk.

Correction d'un bug Heartbleed sur Bitfinex ; les retraits sont temporairement désactivés jusqu'à ce que nous soyons sûrs que tout le monde soit en sécurité.

— Bitfinex.com (@bitfinex)8 avril 2014

Pendant ce temps, des plateformes comme localbitcoins.com etBitcurexont signalé un plus grand succès :

Nous sommes à nouveau en ligne, le bug Heartbleed est corrigé.<a href="http://t.co/OwP9Ft1dE7">http:// T.co/OwP9Ft1dE7</a>

— LocalBitcoins.com (@LocalBitcoins)8 avril 2014

Blockchain.info a également publié une déclarationvia son site Internetdéclarant qu'ilservices améliorés il y a une semaineLa société a également souligné que les mots de passe du portefeuille ne sont jamais envoyés à son serveur.

Il a ajouté : « Nous continuerons d’enquêter si nécessaire et vous fournirons toutes les mises à jour nécessaires. »

Publication d'informations publiques

La nouvelle de l'existence de Heartbleed a été révélée par un cabinet de conseil en sécurité informatique finlandaisCodenomicon, qui a publié la description après avoir testé l'exploit lui-même. Un ingénieur en sécurité de Google, Neel Mehta, l'a signalé auÉquipe OpenSSLtandis qu'Adam Langley et Bodo Moeller préparaient un correctif.

Le nom vient de l'existence du bug dans l'extension « heartbeat » d'OpenSSL et ne représente aucune faille dans le protocole SSL/TLS lui-même.

Codenomicon a déclaré que l'exploitation était « facile » et qu'il avait attaqué avec succès ses propres services, obtenant ainsi accès à des clés Secret pour Certificats X.509, noms d'utilisateur et mots de passe, ainsi que d'autres communications « critiques pour l'entreprise ».

OpenSSLavis de sécuritéa déclaré que Heartbleed affectait les versions 1.0.1 et 1.0.2-beta de la bibliothèque logicielle, y compris 1.0.1f et 1.0.2-beta1.

« Une vérification des limites manquantes dans la gestion de l'extension de pulsation TLS peut être utilisée pour révéler jusqu'à 64 Ko de mémoire à un client ou un serveur connecté », peut-on lire, conseillant aux utilisateurs de mettre à niveau immédiatement ou de supprimer les pulsations de leur version d'OpenSSL en la recompilant avec -DOPENSSL_NO_HEARTBEATS. »

Cette histoire a été co-écrite par Grace Caffyn.

Cœurimage via Shutterstock