HeartBleed

Le monde a tremblé en ce 7 Avril ! Non ce n’est pas lié au fait que ce soit la veille de fin de support de Windows XP, mais bien par la découverte de la faille HeartBleed dans OpenSSL !
Au programme donc : rapide historique de ssl, et open-ssl, explication de HeartBleed et exploitation !

SSL permet à ses utilisateurs d’avoir une connexion chiffré, en d’autres termes rien ne passe en clair sur le réseau, vous pouvez donc utiliser votre carte bleue sur internet sans avoir peur que le réseau vous trahisse.

Attention cependant, le réseau n’est pas le seul vecteur d’attaques potentielles. Bref, cette technologie existe depuis quelques années. Pour l’implémenter il existe une solution Open Source appelée Open SSL qui est largement répandue sur le web. Lorsque l’on ajoute Open SSL sur son serveur on fait confiance aux développeurs du projet pour qu’il n’y ait aucun bug et que tout se passe bien.
Oui mais voila, le 7 avril 2014 Open SSL a eu le droit à sa petite Zero Day ! Qui est assez importante puisqu’elle permet à l’attaquant d’extraire des informations du site. Le code d’Open SSL faisait appel à un memcpy() totalement insécurisé qui permet à l’attaquant d’envoyer et d’exécuter un Payload.

Un exploit à même été ajouté à Metasploit pour exploiter ce genre de vulnérabilités.

Voici ce que donne cet exploit, lors du Plaid CTF 2014.

La faille n’as pas été très longtemps dans la nature, elle fut très vite patché. Mais il peut encore y avoir des sites qui n’aurons pas suivit l’actualité et qui seront encore dans une version OpenSSL faillible.

Vous pouvez tester la sécurité de votre site à cette faille via ce site.

Si il y a bien une chose à retenir de cette 0Day c’est que même les plus gros projets Open Source censé apporter une sécurité au web ne le sont pas forcement !
Pensez donc à toujours bien suivre l’actualité et à faire régulièrement les mises a jour de sécurité !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *