La faille Heartbleed a été extrêmement médiatisée. La vulnérabilité référencée CVE-2014-0160 s’attaque à la libraire de chiffrement OpenSSL. Elle permet à des pirates d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité touche le logiciel OpenSSL chargé de protéger login de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.
Or après la découverte de ce bug, on a recensé plusieurs attaques (le fisc canadien par exemple), mais également l’exposition de différentes solutions (VMware, les VPN d’entreprises, les matériels de Cisco et de Juniper). Plusieurs éditeurs ont lancé des solutions pour vérifier si les sites étaient touchés par la vulnérabilité comme McAfee.
320 000 serveurs encore vulnérables
Malgré cet arsenal et cette médiatisation, le bug Heartbleed continue à faire parler de lui. Selon Robert Graham, chercheur en sécurité pour Errata Security a évalué à plus de 320 000 (318 239 pour être exact) le nombre de serveurs encore vulnérables à la faille Heartbleed. Pour trouver ce chiffre, il a scanné des millions de serveurs sur le port 443 qui est utilisé pour les communications TLS/SSL. A la découverte de la faille, plus de 600 000 serveurs étaient exposés. Robert Graham reste prudent sur ce chiffre de 320 000 en indiquant qu’il existe d’autres tests que le port 443 et qu’il peut donc y avoir plus de serveurs vulnérables.
Une autre étude réalisée par le développeur chez Opera Software Yngve Pettersen et relayée par Ars Technica montre que la mise à jour des serveurs sur Heartbleed patine sur les deux dernières semaines (-0,4% de serveurs non patchés en moins). Pour le spécialiste, « cela indique que le patch des serveurs a été complètement arrêté ». Il met en avant la fin de la médiatisation de la faille, mais également la mise en place de correctifs par les fournisseurs de services de leurs serveurs. Par ailleurs, les grands acteurs du web se sont mobilisés techniquement et financièrement pour sécuriser et fiabiliser les projets Open Source dont en premier lieu OpenSSL. Nonobstant, cela n’empêchent pas des petits malins de se faire remarquer en inventant une autre faille Heartbleed.
A lire aussi :
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…
Au cours du week-end, Crowdstrike a structuré une réponse face à l'incident majeur qu'a causé…
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…