Un groupe de cinq pirates affirme sur Pastebin avoir travaillé pendant deux semaines pour trouver le bogue et pour développer le code permettant d'exploiter une nouvelle vulnérabilité d'OpenSSL. Ils vendent leur exploit 2,5 bitcoins, l'équivalent de 870 dollars environ. La présence d'une nouvelle faille dans OpenSSL pourrait constituer une menace aussi sérieuse que Heartbleed. Mais la revendication des pirates a été accueillie avec suspicion sur le forum de discussion Full Disclosure, où sont débattus les rapports de vulnérabilité. Un commentateur, Todd Bennett, estime que la façon dont ils décrivent techniquement la faille est « assez extravagante ». Le code Open Source OpenSSL est utilisé par des millions de sites Web pour crypter et sécuriser les communications entre ordinateurs clients et serveurs. La faille décrite début avril, surnommée « Heartbleed », peut permettre à des attaquants de récupérer les informations de connexion ou la clé SSL privée du serveur. Selon McAfee, « à ce jour, plus des deux tiers des sites touchés par la faille ont patché leur version d'OpenSSL ».

Débordement de la mémoire tampon

Les pirates prétendent avoir trouvé une vulnérabilité provoquant un débordement de la mémoire tampon, similaire à Heartbleed. Selon eux, il y a un défaut de vérification de boucle dans le traitement de la variable « DOPENSSL_NO_HEARTBEATS ». « Nous pourrions parvenir à déborder le « DOPENSSL_NO_HEARTBEATS » et récupérer à nouveau des bouts de données de 64 ko dans la version mise à jour », disent-ils. Étant donné qu'ils n'ont pas publié leur code d'exploitation, il n'y a aucun moyen de vérifier ce qu'ils affirment. Le groupe a communiqué une adresse e-mail pour recevoir des questions éventuelles, mais il n'a pas immédiatement répondu à une demande envoyée par nos confrères d'IDG News Service.

Une recherche sur Google indique que la même adresse mail a été utilisée dans d'autres ventes de code sur Pastebin. Au mois de mars, cette adresse a été utilisée dans une annonce proposant des données en provenance de la plateforme d'échange de bitcoins Mt Gox basée à Tokyo qui a déposé le bilan après un piratage. La même publicité annonce proposait également des informations provenant de sites qui revendent des données de cartes de crédit volées, et des données d'une autre plateforme d'échange de monnaie virtuelle CryptoAve, également attaquée par des pirates. Souvent, des cybercriminels essayent de se faire de l'argent en prétendant qu'ils détiennent des données susceptibles d'intéresser la communauté des hackers.

Des fonds enfin levés pour assurer le développement d' OpenSSL

Depuis la découverte de la faille Heartbleed, les développeurs se sont mobilisés pour renforcer la sécurité des produits Open Source les plus populaires. Le projet OpenSSL, par exemple, ne disposait que d'une personne à plein temps et recevait 2 000 dollars de dons pour son fonctionnement annuel malgré le rôle capital de ce code dans la protection des communications Internet. Jeudi dernier, un groupe d'entreprises et d'institutions ont lancé le projet Core Infrastructure Initiative pour lever des fonds pour rémunérer les développeurs qui travaillent à temps plein sur d'importants produits Open Source. Dans le groupe, on trouve notamment Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware et la Fondation Linux.