Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Faille de sécurité Heartbleed : comment réagir ?

16 avril 2014

Lundi 7 avril une faille de sécurité a été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.

Qu’est-ce que Heartbleed ?


Heartbleed (« cœur qui saigne ») est une faille découverte dans plusieurs versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. Lorsque vous effectuez un achat sur Internet ou que vous consultez vos mails vous voyez souvent apparaitre un petit cadenas à côté de l’adresse du site.  

Ce petit cadenas indique que la communication entre votre terminal et le site web visité est sécurisée via https, qui s’appuie sur le protocole SSL qui est majoritairement mis en œuvre par le logiciel OpenSSL. Le protocole SSL chiffre les données afin d’empêcher que des informations tels que vos données bancaires, vos identifiants ou vos mots de passe, ne puissent être récupérés par des personnes qui ne devraient pas pouvoir y accéder.

Concrètement la faille Heartbleed rend possible la récupération d’informations confidentielles sur un serveur *.

Quelles sont les conséquences potentielles ?


Les premiers tests effectués ont principalement permis de récupérer des cookies de session ou des données d’authentification. Les clés secrètes des certificats de certains sites auraient également pu être récupérées, comme cela a pu être démontré par plusieurs chercheurs dans le cadre d’un concours proposé par Cloudflare. Les clés secrètes des certificats utilisés doivent donc être considérées, a priori, comme compromises.

Cette faille présente donc un risque pour les données stockées sur les serveurs utilisant les versions vulnérables d’OpenSSL ainsi que pour la confidentialité des échanges.

Que faut-il faire ?


L’article 34 de la loi Informatique et Libertés impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel.

Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Tout responsable de traitement mettant en œuvre une version vulnérable d’OpenSSL doit donc :

  1. mettre à jour les serveurs vulnérables, afin de ne plus utiliser de version affectée par la faille ;
  2. révoquer les clés et certificats utilisés ;
  3. renouveler les clés et mettre à jour les certificats correspondants ;
  4. conseiller aux utilisateurs de renouveler leurs moyens d’authentification, notamment leurs mots de passe.


Attention : le renouvellement des mots de passe des utilisateurs n’est pertinent qu’après la mise en conformité des serveurs. En effet, tout mot de passe renouvelé avant la mise en conformité encourt lui-même un risque de compromission.

La CNIL vérifiera les mises à jour et correctifs de sécurité dans le cadre des contrôles qu’elle opère régulièrement auprès des responsables de traitement. Elle sera en mesure de procéder à  une série de contrôles visant spécifiquement les sites les plus exposés qui ne se seraient pas mis en conformité.

Heartbleed et après ?


Afin de limiter au maximum l’impact de telles failles de sécurité, les organismes doivent pratiquer une veille active de la sécurité des protocoles, systèmes d’exploitation et logiciels qu’ils utilisent. A titre d’exemple, le site du CERTA recense les principales vulnérabilités et propose des recommandations.

Afin d’aider les responsables de traitements à mettre en place les mesures nécessaires à la protection de la vie privée dans leurs traitements, la CNIL a publié un guide en juillet 2012 proposant un catalogue de bonnes pratiques de sécurité.  Ce guide propose en particulier des mesures à mettre en œuvre pour gérer les violations de données à caractère personnel, superviser la protection de la vie privée ou réduire les vulnérabilités des logiciels.

* Pour aller plus loin :


Heartbleed affecte les versions 1.0.1 à 1.0.1 f (inclus) d’OpenSSL. Les versions précédentes (0.9.8 et 1.00) et la version suivante (1.0.1g) ne sont pas affectées.

Heartbleed utilise l’extension Heartbeat qui est intégrée dans OpenSSL. Celle-ci a pour objectif de maintenir une connexion sécurisée ouverte entre deux participants, entre un client et un serveur ou entre deux serveurs par exemple. En l’absence de cette fonctionnalité, les connexions sécurisées sont fermées après une certaine durée d’inactivité. Heartbeat permet à l’un des participants d’envoyer un message à son correspondant, qui répond en répétant ce message. Ceci permet de s’assurer que les participants sont toujours connectés.

Une mauvaise implémentation dans OpenSSL, qui ne vérifie pas la taille du message à retourner, permet de recevoir jusqu’à 64ko d’informations stockées à la suite du message initialement envoyé. En effectuant certaines demandes, il devient ainsi possible de récupérer des informations confidentielles stockées chez l’autre participant au protocole.

Chargement en cours...