Certains sites parmi les plus visités de l'Internet cryptent toujours leurs données avec une version vulnérable d'OpenSSL. La faille, identifiée récemment, pourrait permettre à un attaquant d'intercepter et de déchiffrer les données échangées avec ces sites. Le 5 juin dernier, les développeurs de la bibliothèque cryptographique OpenSSL, qui sert à sécuriser les échanges de données sur Internet, ont livré des correctifs de sécurité d'urgence pour résoudre plusieurs vulnérabilités. L'une d'elles, identifiée par la référence CVE-2014-0224, pourrait, dans certaines conditions, permettre à des attaquants d'espionner les connexions chiffrées. Jusqu'à il y a quelques années, le chiffrement complet des sessions de navigation HTTPS (HTTP avec SSL) était principalement utilisé par les sites bancaires et financiers, d'e-commerce et autres traitant des informations sensibles. Mais, l'utilisation croissante des terminaux mobiles, qui se connectent souvent à des réseaux sans fil non sécurisés, plus les récentes révélations sur la collecte de données brutes en amont par les agences d'espionnage, a poussé un grand nombre de sites à se doter de la technologie de cryptage. Tous utilisent la bibliothèque cryptographique OpenSSL, devenue incontournable, pour implémenter le support SSL/TLS sur les serveurs Web.

Pour exploiter la vulnérabilité CVE-2014-0224 pour décrypter et modifier le trafic SSL, les attaquants doivent s'insinuer entre un client et un serveur utilisant tous deux le protocole OpenSSL. L'attaque dite « de l'homme du milieu » (HDM) ou « man in the middle » (MITM) a pour but d'intercepter les communications entre les deux parties, sans que, ni l'une ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis ». Il faut aussi que le serveur exécute une version OpenSSL de la série 1.0.1.

14% des sites surveillés sont vulnérables

Selon les analyses effectuées jeudi par Ivan Ristic, responsable du SSL Labs de Qualys, environ 14 % des sites surveillés par le projet SSL Pulse - soit 154 406 sites au 2 juin - utilisent une version d'OpenSSL exposée à la faille CVE-2014-0224. Le projet SSL Pulse vérifie le niveau d'implémentations SSL du premier million de sites HTTPS les plus visités de l'Internet. Selon cette sélection, basée sur les statistiques établies par Alexa, 36 % des sites surveillés par Pulse utilisent des versions 0.9.x à 1.0.0 d'OpenSSL. Ces versions contiennent aussi la vulnérabilité, mais à ce jour, l'exploit n'a pas d'impact sur elles. « Mais ces serveurs devraient aussi être mis à jour, car rien ne permet de dire que la faille n'est pas exploitée selon d'autres modalités qui restent à découvrir », a déclaré Ivan Ristic dans un blog vendredi.

Le taux de correctifs appliqués pour corriger la vulnérabilité CVE-2014-0224 ne semble pas être aussi élevé que celui de Heartbleed, cette faille plus grave révélée début avril, qui a également affecté les clients et les serveurs OpenSSL. « La bonne nouvelle c'est que la plupart des navigateurs ne reposent pas sur OpenSSL, ce qui signifie que la plupart des utilisateurs ne sont pas affectés », a déclaré le responsable du SSL Labs de Qualys, qui précise cependant que « les navigateurs Android dépendent d'OpenSSL et sont vulnérables à cette attaque ». Par ailleurs, bon nombre d'outils de programmation utilisant l'OpenSSL et divers produits VPN basés sur OpenSSL, comme OpenVPN par exemple, représentent aussi une cible particulièrement intéressante. Les administrateurs de sites web peuvent vérifier si leurs serveurs sont vulnérables à la faille CVE-2014-0224 avec l'outil de test en ligne gratuit développé par le SSL Labs de Qualys.