Vulnérabilité critique Heartbleed : Mesures d’urgence Kyos

Contexte

Dans la nuit de lundi à mardi, une faille importante sur la librairie OpenSSL a été divulguée. Cette faille a été trouvée conjointement par des chercheurs chez Codenomicon et Google.

SSL est le protocole utilisé pour authentifier et chiffrer les connexions sur Internet (par exemple pour l’ebanking ou le commerce en ligne). OpenSSL est la librairie majoritairement utilisée par les serveurs et clients qui communiquent via SSL.

Lorsque vous vous connectez sur un site web sécurisé comme par exemple l’interface ebanking de votre banque (https://ebanking.votrebanque.com) la connexion se fait via un tunnel SSL, que l’on peut observer dans l’adresse (c’est le ‘s’ de httpss). Cette connexion sécurisée vous assure les protections suivantes :

  • Authentification : le serveur avec lequel vous communiquez est bien celui de votre banque. Ceci est attesté par la signature du certificat que présente le serveur lorsque votre navigateur s’y connecte. En apposant sa signature, l’autorité de certification (VeriSign, Thawte, SwissSign ou autre) vous le garantit.
  • Sécurisation : le contenu de la connexion est chiffré entre le client et le serveur. Il n’est donc pas possible pour un tiers de lire les données.

Vulnérabilité et risques associés

La faille HEARTBLEED donne la possibilité à un attaquant d’accéder par tranche de 64Ko à la mémoire déchiffrée des transactions SSL et même au-delà à potentiellement toute la mémoire de la machine. Elle remet donc en cause le chiffrement et dans un second temps également l’authentification. La faille est présente depuis deux ans dans la librairie et il est impossible de savoir si et quand elle a été utilisée par des personnes malveillantes.

Dans ce contexte, des données sensibles peuvent être volées, dans l’ordre de priorité :

  1. Mot de passes échangés lors de l’authentification sur un site,
  2. Cookies de session après authentification,
  3. Autres données en mémoire,
  4. Clé privée des certificats serveurs.

A ce jour les exploits disponibles sur Internet permettent de récupérer facilement les points 1), 2) et 3). Il n’y a pas d’exploit public qui extrait directement les clés SSL. C’est à dire qu’un attaquant devra analyser la mémoire obtenue afin de reconstruire la clé privée. La mise en œuvre d’une attaque en réutilisant la clé privée du serveur nécessitera à l’attaquant de rediriger les connexions vers un serveur sous son contrôle.

Dans ce contexte les données les plus facilement exploitables restent les mots de passes et cookie de session que l’attaquant pourra tenter de réutiliser.

Actions de Kyos

Dès que nous avons eu connaissance de la faille Kyos a entreprit les actions suivantes :

  1. Identification des services vulnérables en interne et chez nos clients,
  2. Patch ou ouvertures de demandes de patch auprès du support du produit affecté, 2a) Si un patch n’est pas disponible coupure temporaire du service vulnérable (par exemple le SSL VPN). Puis dans un second temps nous entreprenons :
  3. régénération des mots de passes, certificats, token utilisés pour se connecter au service,
  4. activation PFS (Perfect Forward Secrecy) qui empêche le déchiffrement du trafic SSL hors ligne, dans le cas où un attaquant aurait fait une capture réseau d’un flux SSL et essayerait de le déchiffrer a postériori avec la clé qu’il aurait récupérée.

Note sur le renouvellement des certificats : le renouvellement n’est pertinent que si les crédentiels qui ont transité par le serveur lorsqu’il était vulnérable sont aussi régénérés.

Exemples d’équipements produits concernés (liste non-exhaustive) :

  • Cisco
  • Fortinet
  • VMWare ESX 5.5
  • OpenSSL 1.0.1 jusqu’à f
  • F5 Big-IP 11.5.0 et 11.5.1

Une liste plus complète se trouve sur https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

Recommandation pour les utilisateurs finaux

Dans un premier temps nous recommandons de ne pas utiliser de service (bancaire ou autre) tant que le site n’as pas corrigé la faille. Ensuite nous recommandons de changer les mots de passe sur les sites affectés. Ci-dessous un lien indiquant les principaux sites (réseaux sociaux, webmails et autres) qui sont ou ont été affectés.

https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

Sources et liens utiles

 

Eric LEDERREY