Sécurité informatique : « HeartBleed », un désastre pour votre vie privée

« Sur une échelle de 1 à 10, cet incident vaut un 11 », a déclaré Bruce Schneier, expert en sécurité informatique reconnu (voir ici). En effet, cette vulnérabilité critique, appelée « Heartbleed », touche toute personne qui se fie à la sécurité des communications et au respect de la vie privée sur internet. Vous ne pouvez pas l'éviter, alors voyons comment cela vous concerne.

 

« Heartbleed » est une vulnérabilité pour OpenSSL (CVE-2014-0160), un logiciel qui implémente les protocoles principaux de sécurisation des échanges sur internet, « Secure Socket Layer (SSL) » et « Transport Layer Security (TLS) », et qui fournit une bibliothèque cryptographique généraliste. Les protocoles SSL et TLS sont utilisés pour chiffrer toute communication entre un client et un serveur et protégeaient votre communication contre l'écoute et l’espionnage... jusqu'en 2012, date à laquelle cette erreur a été introduite. En l'exploitant, n'importe qui peut obtenir les premiers 64 kB de mémoire d'un serveur ou d'un client qui utilisent OpenSSL (qui ne sont pas nécessairement des serveurs web) et peut potentiellement acquérir non seulement le contenu de messages sécurisés, tels que des mots de passe transmis via https, mais aussi les clefs SSL utilisées pour sécuriser les communications (voir ici pour plus de détails).

Cette vulnérabilité est catastrophique car OpenSSL est utilisé par un nombre important d'applications : les distributions Linux, le système de stockage Netapp, les systèmes de VPN Cisco ou Juniper, le logiciel de gestion HP... C'est donc sans surprise que Facebook, Yahoo et même Google sont concernés. Le CERN n'est pas une exception. Heureusement, nous prenons la sécurité informatique très au sérieux, et avons donc pris les mesures nécessaires pour prévenir une potentielle exploitation de cette vulnérabilité. LXPLUS, CERN Eduroam, le service mail du CERN, le portail « Single Sign-On », la plupart des serveurs web gérés centralement ainsi que les applications majeures du CERN (par exemple EDMS, EDH) n'ont heureusement pas été affectés. De même, EGI et OSG ont lancé leurs procédures d'intervention d'urgence pour s'assurer que l'infrastructure de la Grille reste sûre.

Que pouvez-vous faire ?

  • Grâce à beaucoup de nos collègues du CERN (au département IT, aux départements techniques et aux expériences LHC), notre infrastructure est opérationnelle.
  • En tant que mesure préventive, il vous a probablement déjà été demandé de changer le mot de passe de tous vos comptes CERN (ce que vous pouvez faire sur https://cern.ch/account).
  • Si vous possédez votre propre serveur web/de fichier/..., utilisant un système d'exploitation Linux, tel que CERN Scientific Linux 6, assurez-vous de bien appliquer toutes les mises à jour disponibles dès que possible (par exemple en utilisant « yum update » ). SLC5 et Windows Server ne sont pas concernés.
  • Si vous utilisez Microsoft Windows, Apple MacOS X, iOS ou Linux sur votre ordinateur/tablette de travail et que vous utilisez un navigateur web tel que Chrome, Firefox ou Internet Explorer, vous ne devriez pas être touché par cette vulnérabilité. Cela est aussi valable pour vos ordinateurs personnels.
  • Si vous utilisez des services web extérieurs, tels que Facebook, Google, Yahoo et autres, renseignez-vous auprès d'eux et envisagez de changer vos mots de passe pour ces services. Ils ont probablement déjà corrigé cette vulnérabilité.
     

Pour plus d'informations, inscrivez-vous à nos cours de programmation sécurisée.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).

Et bien sûr, n'hésitez pas à contacter l'équipe de sécurité informatique ou à consulter notre site web.


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Computer Security Team