Malgré un début très encourageant, le déploiement de correctifs pour OpenSSL sur les serveurs exposés à la faille Heartbleed s'est nettement ralenti et marque même un temps d'arrêt. En effet, il reste toujours 300 000 serveurs vulnérables et beaucoup d'entre eux ont peu de chance d'être corrigés prochainement. Au cours du mois précédent, seulement 9000 serveurs ont été patchés. C'est très en deçà des 300 000 serveurs corrigés pendant le premier mois qui a suivi la découverte de la vulnérabilité.

Rendue publique début avril, la faille Heartbleed permet aux pirates de voler des informations dans la mémoire des serveurs qui utilisent les versions 1.0.1 à 1.0.1f du protocole OpenSSL, dans le cas où ils prennent en charge une fonctionnalité SSL appelée « heartbeat » ou « battement de coeur ». La faille permet d'extraire des mots de passe utilisateur et les clés privées des serveurs. Celles-ci peuvent ensuite être utilisées pour déchiffrer le trafic SSL transitant par ces serveurs. Peu de temps après l'annonce de la découverte de la vulnérabilité, Robert Graham, CEO de Errata Security, avait estimé, après un scan de l'Internet, que 615 268 serveurs SSL hébergeant des sites accessibles au public étaient exposés à la faille Heartbleed. Un mois plus tard, un nouveau scan lui avait permis de constater que 318 239 systèmes étaient encore vulnérables, c'est-à-dire que plus de la moitié des serveurs avaient été corrigés.

Encore des milliers de systèmes vulnérables dans les prochaines années

Ce chiffre impressionnant a été confirmé par d'autres analyses. Ainsi, immédiatement après la divulgation de la faille, Ivan Ristic, qui réalise tous les mois, dans le cadre d'un projet appelé SSL Pulse, une analyse des 155 000 sites les plus visités de l'Internet, avait estimé que 30 % d'entre eux étaient potentiellement exposés à la faille Heartbleed. Un mois plus tard, les données de SSL Pulse indiquaient que seuls 1291 sites, soit 0,8 % du total, étaient encore vulnérables. Si bien que, dans un récent courriel, Ivan Ristic a même déclaré que cette mobilisation contre Heartbleed était « incroyablement rapide ». Cependant, depuis le début du mois de mai, les chiffres semblent montrer un net tassement dans le déploiement. « Vendredi soir, soit un peu plus de deux mois après la découverte de Heartbleed, un nouveau balayage de l'Internet a montré qu'il restait encore 309 197 serveurs vulnérables », a écrit dans un blog le CEO de Errata Security. « Cela indique que le déploiement du correctif a presque cessé ».

En juin, l'analyse effectuée sur les sites les plus populaires de l'Internet par le projet SSL Pulse comptabilise encore 1044 sites vulnérables à Heartbleed. Les 310 000 serveurs vulnérables identifiés par Errata Security hébergent des sites moins populaires qui ne sont pas pris en compte par le projet. De l'avis de Robert Graham, si, malgré tous les efforts de sensibilisation, ces serveurs n'ont pas encore été corrigés, il est probable qu'un grand nombre d'entre eux restent vulnérables pendant un certain temps. « Dans une dizaine d'années, je pense que l'on trouvera encore des milliers de systèmes, y compris des systèmes critiques, toujours exposés à la faille Heartbleed », a déclaré M. Graham qui prévoit d'espacer la fréquence des analyses. « Nous effectuerons le prochain scan dans un mois, le suivant dans six mois, puis tous les ans », a-t-il précisé.