Heartbleed concerne encore plus de 300 000 serveurs

Robert Graham, Pdg d’Errata Security, vient de publier un inquiétant billet de blog. Dans celui-ci, il dresse un nouveau bilan d’étape, deux mois après la découverte de la vulnérabilité Heartbleed. Et selon celui-ci, plus de 300 000 serveurs accessibles par Internet, sont encore concernés. Soit autant que début mai, et la moitié moins que lors de la découverte. Mais c’est la stabilité du chiffre, depuis un mois, qui inquiète l’expert : « cela indique que l’on a même arrêté d’essayer d’appliquer des correctifs. » Pessimiste, il ne s’attend pas à guère mieux : « dans dix ans, je m’attends à trouver encore des milliers de systèmes, dont certains critiques, encore vulnérables. » Et de prévoir une nouvelle analyse dans un mois, puis six mois plus tard, et enfin une fois par an par la suite.

En attendant, la vulnérabilité de la librairie OpenSSL continue de faire des victimes. La compagnie d’assurance britannique Aviva en fait partie. Heartbleed a en effet permis a des attaquants de prendre le contrôle des outils d’administration de terminaux mobiles d’Aviva, édités par MobileIron mais fournis par un tiers, Esselar. La compagnie chercherait actuellement à dénoncer son contrat avec ce dernier. De son côté, MobileIron assure qu’aucune vulnérabilité dans ses systèmes ni dans ses logiciels n’est à l’origine de l’incident. Les iPhone des employés d’Aviva et administrés ont été réinitialisés à distance par les attaquants. La compagnie d’assurance a migré leur administration sur un service BlackBerry 10, selon nos confrères du Register.