Préparez-vous dès maintenant à une faille critique dans OpenSSL, préviennent les experts en sécurité

Les organisations ont cinq jours pour se préparer à ce que le projet OpenSSL a décrit le 26 octobre comme une vulnérabilité « critique » dans les versions 3.0 et supérieures de la bibliothèque cryptographique presque omniprésente utilisée pour chiffrer les communications sur Internet.

Le mardi 1er novembre, le projet publiera une nouvelle version d'OpenSSL (version 3.0.7) qui corrigera une faille encore non divulguée dans les versions actuelles de la technologie. Les caractéristiques de la vulnérabilité et la facilité avec laquelle elle peut être exploitée détermineront la rapidité avec laquelle les organisations devront résoudre le problème.

Des implications potentiellement énormes

Les principaux fournisseurs de systèmes d'exploitation, éditeurs de logiciels, fournisseurs de messagerie et entreprises de technologie qui ont intégré OpenSSL dans leurs produits et services auront probablement des versions mises à jour de leurs technologies dont la publication est programmée avec la divulgation de la faille par le projet OpenSSL mardi prochain. Mais cela laissera potentiellement des millions d’autres personnes – y compris des agences fédérales, des entreprises privées, des fournisseurs de services, des fabricants de périphériques réseau et d’innombrables opérateurs de sites Web – avec une échéance imminente pour trouver et corriger la vulnérabilité avant que les acteurs malveillants ne commencent à l’exploiter.

Si la nouvelle vulnérabilité s’avère être un autre bug Heartbleed – la dernière vulnérabilité critique ayant un impact sur OpenSSL – les organisations et l’ensemble du secteur seront sous pression pour résoudre le problème le plus rapidement possible.

La vulnérabilité Heartbleed (CVE-2014-0160), divulguée en 2014, donnait essentiellement aux attaquants un moyen de écouter les communications Internet, voler des données
des services et des utilisateurs, pour usurper l'identité des services, et faire tout cela avec peu de traces de ce qu'ils ont fait. Le bug existait dans les versions d'OpenSSL à partir de mars 2012 et affectait une gamme vertigineuse de technologies, notamment des serveurs Web largement utilisés tels que Nginx, Apache et IIS ; des organisations telles que Google, Akamai, CloudFlare et Facebook; serveurs de messagerie et de chat ; des appareils réseau d'entreprises telles que Cisco ; et les VPN.

La divulgation du bug a déclenché une frénésie d'activités correctives dans l'ensemble de l'industrie et suscité des inquiétudes quant à des compromissions majeures. Comme l'a noté le site Heartbleed.com de Synopsys, Apache et Nginx représentaient à eux seuls une part de marché de plus de 66 % des sites actifs sur Internet au moment où Heartbleed a été divulgué.

On ne sait pas, jusqu'à mardi au moins, si la nouvelle faille ressemblera à Heartbleed. Mais étant donné l’utilisation d’OpenSSL pour le chiffrement sur Internet, presque comme une infrastructure critique, les organisations feraient bien de ne pas sous-estimer la menace, ont déclaré cette semaine des experts en sécurité.

Les organisations de sécurité doivent se préparer à l'impact

« Il est un peu difficile de spéculer sur l'impact, mais l'expérience passée a montré qu'OpenSSL n'utilise pas le terme « critique » à la légère », explique Johannes Ullrich, doyen de la recherche à l'Institut SANS.

OpenSSL lui-même définit une faille critique comme une faille qui permet une divulgation significative du contenu de la mémoire du serveur et les détails des utilisateurs potentiels, les vulnérabilités qui peuvent être exploitées facilement et à distance pour compromettre les clés privées du serveur.

La version 3.0, la version actuelle d'OpenSSL, est utilisée dans de nombreux systèmes d'exploitation actuels, tels que Ubuntu 22.04 LTS et MacOS Mavericks et Ventura, note Ullrich. Les organisations peuvent s'attendre à recevoir les correctifs Linux rapidement et probablement en même temps que le bulletin OpenSSL de mardi. Mais les organisations devraient se préparer dès maintenant et découvrir quels systèmes utilisent OpenSSL 3.0, explique Ullrich. « Après Heartbleed, OpenSSL a introduit ces annonces préalables de correctifs de sécurité », dit-il. « Ils sont censés aider les organisations à se préparer. Alors, profitez de ce temps pour découvrir ce qui nécessitera des correctifs.

Brian Fox, co-fondateur et CTO de Sonatype, affirme qu'au moment où le projet OpenSSL divulgue le bug mardi, les organisations doivent identifier si elles utilisent une version vulnérable n'importe où dans leur portefeuille technologique, quelles applications l'utilisent et combien de temps. il leur faudrait résoudre le problème. 

"La portée potentielle est toujours l'élément le plus important de tout défaut majeur", note Fox. "Dans ce cas, le plus grand défi lié à la mise à jour d'OpenSSL est que cette utilisation est souvent intégrée à d'autres appareils." Dans ces cas-là, il peut être difficile d’évaluer l’exposition sans demander conseil au fournisseur de technologie en amont, ajoute-t-il.

Tout ce qui communique avec Internet en toute sécurité pourrait potentiellement intégrer OpenSSL. Et ce ne sont pas seulement les logiciels qui peuvent être affectés, mais également le matériel. Le préavis fourni par le projet OpenSSL devrait donner aux organisations le temps de se préparer. « Trouver quels logiciels ou quels appareils est la première étape. Les organisations devraient le faire maintenant, puis l'application de correctifs ou l'approvisionnement en mises à jour auprès des fournisseurs en amont suivront », déclare Fox. "Tout ce que vous pouvez faire pour le moment, c'est faire l'inventaire."

Un écosystème entier pourrait devoir être mis à jour

Beaucoup dépendra également de la manière dont les fournisseurs de produits intégrant des versions vulnérables d’OpenSSL réagissent à cette divulgation. La sortie de la nouvelle version par le projet OpenSSL mardi n'est que la première étape. « Tout un écosystème d'applications construites avec OpenSSL devra également mettre à jour son code, publier ses propres mises à jour, et les organisations devront les appliquer », explique John Bambenek, principal chasseur de menaces chez Netenrich.

Idéalement, les organisations qui ont eu affaire à Heartbleed auront une idée de l'emplacement de leurs installations OpenSSL et des produits de leurs fournisseurs qui nécessiteront également une mise à jour. « C'est pourquoi les nomenclatures logicielles peuvent être importantes », explique Bambenek. "Ils peuvent prendre ce temps pour contacter et comprendre les plans de mises à jour de leurs fournisseurs et vendeurs afin de s'assurer que ces mises à jour sont également appliquées." Un problème probable auquel les organisations doivent se préparer est la manière de gérer les produits en fin de vie pour lesquels les mises à jour ne sont pas disponibles, ajoute-t-il.

Mike Parkin, ingénieur technique senior chez Vulcan Cyber, affirme que sans preuve d'activité d'exploitation et indicateurs de compromission associés, il est préférable que les organisations suivent leur processus normal de gestion des changements lorsqu'une mise à jour connue est en cours. « Du point de vue de la sécurité, il vaut la peine de se concentrer davantage sur les systèmes qui pourraient être affectés si un exploit apparaît avant la sortie de la nouvelle version », conseille-t-il.

Il n'y a pas suffisamment d'informations dans l'annonce du projet OpenSSL pour dire combien de travail sera impliqué dans la mise à niveau, "mais à moins qu'elle ne nécessite une mise à jour des certificats, la mise à niveau sera probablement simple", prédit Parkin.

Le 1er novembre également, le projet OpenSSL publiera la version 1.1.1 d'OpenSSL, qu'il a décrite comme une « version de correction de bugs ». La version 1.1.1, qu'elle remplace, n'est pas sensible au CVE qui est en cours de correction dans la version 3.0, a indiqué le projet.