Akamai Technologies, dont la plate-forme CDN gère jusqu'à 30% du trafic Internet global avec ses relais, a déclaré dimanche dernier qu'un chercheur a découvert une faille dans le code OpenSSL revu que la société pensait à l'abri du bug Heartbleed. En conséquence, Akamai est obligé de rééditer dans l'urgence tous les certificats SSL (Secure Sockets Layer) et les clefs de sécurité utilisées pour créer des connexions cryptées entre les visiteurs et les sites Internet de ses clients. « En bref, nous avons eu un bug », a écrit Andy Ellis, directeur de la technologie d'Akamai, dans un billet de blog.

Les clients d'Akamai comprennent certaines des plus grandes banques du monde, des groupes médias et des sociétés spécialisées dans le commerce électronique. La firme, qui gère 147 000 serveurs dans 92 pays, fournit son service à des milliers d'organisations et entreprises qui utilisent la bibliothèque cryptographique Open Source OpenSSL pour sécuriser leurs connexions.

Il y a deux ans, un programmeur allemand a modifié des lignes de code d'OpenSSL et généré une erreur qui pourrait divulguer la clé privée utilisée par un serveur web pour créer une connexion SSL indiquée par un cadenas, vers un site web, ou laisser filer d'autres données récentes envoyées à un serveur, tels que les noms d'utilisateur et mots de passe. Il s'agit d'un des bugs les plus graves pouvant affecter le réseau Internet.

Des serveurs vulnérables depuis 2 ans

Les serveurs d'Akamai ont été vulnérables à la faille Heartbleed durant une période comprise entre août 2012 et le 4 avril 2014, a indiqué M. Ellis. Pendant ces deux ans, il aurait été possible pour les attaquants d'intercepter des mots de passe ou de voler d'autres données telles que des cookies de session. Mais le dirigeant a également indiqué que les clients d'Akamai étaient moins vulnérables que d'autres à une attaque exploitant le bug Heartbleed pour obtenir une clé SSL privée. La raison est qu'Akamai a ajouté des lignes de code supplémentaires lors du déploiement d'OpenSSL il y a une dizaine d'années. Les modifications portaient sur la façon dont des clefs secrètes utilisées pour créer une connexion SSL étaient stockées. Peu de temps après la divulgation de la faille OpenSSL, Andy Ellis a souligné qu'Akamai restait confiant car son code modifié apporte « une meilleure protection» que le code d'origine d'OpenSSL .

Vendredi dernier, un ingénieur d'Akamai, Rich Salz, a écrit sur un forum que l'entreprise a décidé de publier une variation du code utilisé par la firme spécialisée dans le CDN. M. Salz indique toutefois que le code ne doit pas être considéré comme un patch complet, mis en « production » ou utilisé en l'état sur un serveur, sans autre examen complémentaire.

Des failles supplémentaires dans OpenSSL

Hier dimanche, M. Ellis a écrit qu'un chercheur indépendant en sécurité, Willem Pinckaers, avait cependant mis à jour des failles dans le code modifié par Akamai. M. Pinckaers écrit ainsi sur son site, qu'il a trouvé les failles dans les 15 minutes. Akamai « ne devrait pas proposer à la communauté OpenSSL un code patché bourré de bugs et non fonctionnel, tout en prétendant qu'ils sont protégés contre les attaques Heartbleed », écrit ainsi le chercheur. Andy Ellis a toutefois indiqué que le code d'Akamai ne protège pas trois des six valeurs critiques d'une clef RSA, qui est un long numéro généré par un algorithme et est utilisé pour créer une connexion cryptée. Ces valeurs pourraient être exposées en exploitant le bug Heartbleed, ce qui pourrait permettre à un attaquant de retrouver la clef privée, écrit-il. La société évalue les principaux points mis en avant par le chercheur en sécurité. Avec une clef SSL privée, il est possible pour un pirate de mettre en place un faux site capable de passer avec succès la phase de vérification de sécurité cryptographique. Il permettrait également de lancer une attaque de type man-in-the middle, où le trafic chiffré est intercepté et lu.

Le dirigeant d'Akamai précise encore que l'émission de nouveaux certificats SSL et clefs peut être très rapide dans certains cas, mais celles qui nécessitent la validation supplémentaire avec les autorités de certification peuvent prendre plus de temps.