Le bug Heartbleed est une vulnérabilité dans la bibliothèque cryptographique OpenSSL qui permet à des attaquants de lire de manière invisible des données sensibles d'un serveur web. Il peut s'agir de clés cryptographiques, de noms d'utilisateur et de mots de passe. De plus amples informations et une foire aux questions sont disponibles dans la divulgation initiale .
MISE À JOUR : nous avons publié notre analyse complète de la vulnérabilité Heartbleed, L'affaire Heartbleed conférence ACM SIGCOMM Internet Measurement Conference (IMC'14 ) le 7 novembre 2014 à Vancouver, au Canada. Cette analyse fournit des informations actualisées qui remplacent ce site web.
Qui est vulnérable ?
Afin de déterminer qui est vulnérable au bug Heartbleed, nous avons effectué des analyses complètes de l'espace d'adressage IPv4 à l'aide de ZMap et vérifié régulièrement l'état des domaines du Top 1 Million d'Alexa . À 16h00 EDT le mercredi 16 avril 2014, nous avons constaté que 45% des sites web du Top 1 Million d'Alexa supportent TLS. Parmi les sites web qui supportent HTTPS, 5,2% sont vulnérables, 32% supportent l'extension heartbeat en toute sécurité, et 63% ne supportent pas l'extension heartbeat (et sont donc sûrs). Des informations sur les sites web populaires qui ont été touchés, mais qui ne sont plus vulnérables, sont disponibles sur le site Mashable's The Heartbleed Hit List : Les mots de passe que vous devez changer dès maintenant . Si vous craignez qu'un site web spécifique soit vulnérable, vous pouvez le tester à l'aide du test Qualys SSL Server Test . Si vous êtes administrateur de systèmes, l'EFF a publié Heartbleed Recovery for System Administrators , qui contient des informations sur la manière de protéger les services.
MISE A JOUR (4/11/14 10:00 PM EDT) : Il y a maintenant des preuves disponibles qui indiquent qu'il est possible d'extraire les clés privées des serveurs web qui ont été impactés par la vulnérabilité Heartbeat. Nous avons publié une liste de la première fois que le certificat de chaque site web a été vu dans la nature. Malheureusement, il apparaît que près de 25 % des 1 000 premiers sites web utilisant des logiciels potentiellement touchés par la vulnérabilité Heartbeat utilisent des certificats datant d'avant le 1er avril 2014.
MISE A JOUR (4/13/14 1:00 PM EDT) : L'attention entourant la vulnérabilité Heartbeat s'est surtout concentrée sur les serveurs web qui utilisent OpenSSL. Cependant, de nombreux autres types de services utilisent TLS et OpenSSL pour chiffrer les communications sensibles, notamment le courrier, la messagerie instantanée et la voix sur IP (VoIP). Nous avons commencé à rechercher les serveurs SMTP, IMAP et POP3 vulnérables. Environ 7,6 % des serveurs de messagerie hébergés sur mail.domain et smtp.domain pour le Top 1 Million d'Alexa restent vulnérables.
MISE A JOUR (4/14/14 6:00 PM EDT) : Lundi après-midi, il a été porté à notre attention que plusieurs serveurs de messagerie sécurisés ont été incorrectement répertoriés comme vulnérables dans l'un de nos récents scans. Nous avons depuis localisé l'erreur et publié des résultats mis à jour. Nous remercions Scott Thorson de nous avoir signalé cette erreur.
Les analyses complètes de HTTPS pour l'adresse IPv4 complète montrent qu'environ 4,9 % de tous les hôtes qui prennent en charge HTTPS restent vulnérables. 6,0 % prennent en charge les messages Heartbeat, mais ne sont pas vulnérables, et 89,1 % des hôtes HTTPS ne prennent pas en charge Heartbeat. Au total, environ 1,4 million de serveurs web restent vulnérables. Nous ne publions pas pour l'instant d'analyses complètes de l'ensemble de l'internet.
Tendance historique des sites Web vulnérables utilisant le protocole HTTPS : Alexa Top 1 Million Websites
Y a-t-il des attaques actives ?
Nous avons observé un petit nombre d'hôtes qui recherchent cette vulnérabilité. Cependant, il est difficile de discerner l'intention de ces scanners. S'il est possible que les attaquants recherchent des hôtes à compromettre, il est également possible que ces analyses soient effectuées par des chercheurs.
MISE A JOUR (4/10/14 7:30 PM EDT) : Nous disposons de données historiques sur les connexions HTTPS provenant d'une adresse IP hors des sentiers battus depuis le 22 novembre 2013. Nous avons observé la première tentative d'exploitation de la vulnérabilité le 2014-04-09 à 00:23 UTC depuis 183.60.244.44 (une adresse en Chine associée à des activités malveillantes). Nous avons observé une deuxième tentative d'exploitation de la vulnérabilité le 2014-04-10 à 02:04 GMT et à nouveau à 02:58 UTC depuis l'adresse IP 54.200.211.227 (une instance Amazon EC2). Comme l'adresse de notre pot de miel n'est pas un site majeur, nous soupçonnons que ces tentatives d'attaque faisaient partie de tentatives d'exploitation à l'échelle de l'Internet. Nous n'avons pas observé de telles attaques à grande échelle avant l'annonce publique du bogue. Cependant, nous ne pouvons pas exclure la possibilité qu'il y ait eu des attaques ciblées antérieures contre des sites spécifiques.
MISE A JOUR (4/15/14 2:00 PM EDT) : Nous avons observé 41 hôtes uniques qui recherchent et tentent d'exploiter la vulnérabilité Heartbeat. Ces attaques ont été découvertes sur trois pots de miel que nous maintenons à l'écart. Sur ces 41 hôtes, 59 % étaient situés en Chine et représentaient 45 % des attaques. La première sonde que nous avons détectée était à 1539 GMT le 8 avril 2014. Étant donné que nos pots de miel sont hébergés sur des hôtes isolés et non sur un site web important, il est très probable que ces hôtes effectuaient des analyses complètes ou des analyses d'un large échantillon de l'Internet. Le maximum de données récupérées par un seul scanner était de 300 Ko.
Qui est à l'origine de cette recherche ?
Ce rapport a été rédigé par des informaticiens de l'université du Michigan, dont Zakir Durumeric , David Adrian , Michael Bailey et J. Alex Halderman . L'équipe peut être contactée à l'adresse heartbleed@umich.edu.
