Heartbleed : encore bien trop d’équipements affectés

John Matherly est le fondateur du moteur de recherche Shodan, spécialisé dans le sondage de l’espace d’adressage IP public pour détecter les appareils publiquement accessibles en ligne. Ce 15 septembre, il a identifié plus de 200 000 appareils ainsi connectés et encore affectés par la vulnérabilité Heartbleed. Près de 60 000 d’entre eux se trouvent aux Etats-Unis, contre plus de 21 500 en Allemagne et près de 10 100 en France.

FYI: there are still more than 200,000 devices on the Internet vulnerable to Heartbleed pic.twitter.com/fQavZJJmNW

— John Matherly (@achillean) September 15, 2015

Pour Graham Cluley, cette situation est déplorable : « clairement, certains constructeurs et certaines équipes IT ont laissé tombé, et ont échoué à mettre à jour leurs systèmes vulnérables ». Et de « parier » qu’il « y aura toujours des appareils connectés à Internet affectés par Heartbleed ».

En avril dernier, découverte un an après la découverte de la vulnérabilité Heartbleed, selon Venafi « 74 % des 2000 plus grandes multinationales avec des systèmes accessibles au public [étaient] encore vulnérables ». Et de relever qu’il ne s’agissait là que de deux petits points d’amélioration en 8 mois. Venafi n’était hélas pas le premier, ni le seul, à tirer la sonnette d’alarme. IBM notamment l’a fait avant lui. Fin août dernier, IBM a relevé que les pare-feu, mais aussi les systèmes de détection et de prévention des intrusions ont été d’un grand secours aux grandes entreprises.

Ainsi, alors que le groupe a relevé jusqu’à plus de 300 000 attaques par jour exploitant Heartbleed le 15 avril 2014, le chiffre est rapidement retombé, à quelques centaines d’incidents par jour à la fin du mois d’avril dernier. Mais pour IBM, environ « 50 % des serveurs potentiellement vulnérables ont été laissés sans correctif », de quoi faire de la vulnérabilité « une menace continue et critique ».

Et ce d’autant plus que ce bug a laissé une grande quantité de clés privées et d’autres secrets exposés sur Internet. Surtout, il ne concerne pas que des serveurs Web à la criticité limitée. Fin juillet 2014, le Cert US alertait sur la vulnérabilité de certains systèmes de contrôle industriel. Et ce n’est qu’un exemple.

Pour mémoire, Heartbleed permet à n’importe qui sur Internet de lire la mémoire des systèmes protégés par les versions vulnérables du logiciel OpenSSL avec, à la clé, le risque de compromission des clés secrètes utilisées pour identifier les fournisseurs de services et pour chiffrer le trafic, des identifiants des utilisateurs, et le contenu transitant sur les liens chiffrés. C’est un bug dans l’implémentation de l’extension heartbeat des protocoles TLS/DTLS, au sein d’OpenSSL, qui est à l’origine de cette vulnérabilité particulièrement difficile à corriger pleinement : il faut appliquer le correctif, révoquer les clés compromises, et ré-émettre et redistribuer de nouvelles clés…