SSL : une nouvelle faille majeure
Après la faille dans l'implémentation SSL d'OS X il y a quelques semaines, c'est au tour de l'extension heartbeat d'OpenSSL d'être affectée par une faille, qui toucherait les deux tiers des sites web, la librairie OpenSSL étant notamment utilisée par défaut pour la gestion du HTTPS dans Apache et nginx, les deux serveurs HTTP les plus populaires (gérant respectivement 53% et 13% des sites selon les mesures de Netcraft en février dernier).
La faille est cette fois particulièrement critique, puisqu'elle permet à un attaquant de récupérer des portions du contenu de la mémoire du serveur vulnérable, mémoire qui peut notamment contenir les clés privées du serveur, ce qui peut ensuite lui permettre de déchiffrer les flux entre le serveur et les clients, rendant le chiffrement totalement caduque et exposant aux yeux de l'attaquant les éventuelles données personnelles ou bancaires transitant entre le serveur et les clients.
Pire, la faille est présente (et donc potentiellement exploitée...) depuis deux ans, et son exploitation ne laisse aucune trace particulière dans les fichiers logs des serveurs, ce qui fait qu'aucun administrateur de site utilisant OpenSSL n'est aujourd'hui en mesure de savoir si ses clés privées ont été volées ou non.
Toutes les versions d'OpenSSL de la 1.0.1 à la 1.0.1f sont affectées, et un site a été mis en place pour tester si un serveur est vulnérable. La plupart des distributions Linux proposent désormais dans leurs dépôts de mise à jour la version 1.0.1g, qui corrige ce problème.