Votre nom :
Votre email :
Email du destinataire :

Failles SSL, TLS et cie… et si on faisait un point ?

Failles SSL/TLS, et si on faisait un point ?

Après la découverte de plusieurs failles (Heartbleed, goto fail, et d’autres moins médiatiques) dans les applications de chiffrement des données, celles-là même qui constituent l’unique rempart entre nos données et les voleurs, il est utile de faire un point sur ce qui est dangereux, ce qui l’est moins et comment on peut y remédier à notre niveau.

Pour commencer il convient de resituer ces différentes failles dans leur contexte. En réalité il y a plusieurs contextes et, la plupart du temps, les projecteurs ont été braqués sur l’application OpenSSL sur les serveurs. Seulement il n’y a pas que sur les serveurs qu’on trouve OpenSSL, et il n’y a pas que OpenSSL qui soit concernée par ces bugs, d’autres concernent directement le protocole TLS (qui est utilisé au même titre que SSL pour le chiffrement des données).

Les serveurs

Les failles comme Heartbleed concernent les échanges de données chiffrés et protégés par un ou plusieurs certificats. La particularité de cette faille est qu’il n’est pas nécessaire d’intercepter des communications pour en extraire des données confidentielles (en particulier des mots de passe ou des clés) mais que le pirate peut accéder à la mémoire de l’ordinateur et en extraire les informations sensibles d’un précédent échange avec un autre appareil. La principale réaction a consisté en la correction du bug dans OpenSSL et la mise à jour d’un certain nombre de serveurs dans le monde.

Les PC et smartphones

Les failles comme goto-fail concernent plus directement les logiciels clients, ceux qui sont sur votre PC ou votre smartphone. Une fois encore OpenSSL était concerné, mais plus en tant que logiciel, il l’était en tant qu’API (Application Programming Interface), c’est-à-dire en tant que composant logiciel utilisé dans d’autres logiciels. Le bug se trouvait aussi dans d’autres API, comme celles d’Apple.

Les risques sont donc divers

En effet, qu’elle soit située sur un serveur ou dans un programme sur notre PC ou smartphone, une faille est dangereuse car elle peut être exploitée par n’importe qui, et de nombreuses manières différentes. Suffit-il de mettre à jour les serveurs pour que tout le monde soit, d’un coup, à nouveau protégé ? Hélas non. Une faille comme Heartbleed peut être corrigée facilement sur les serveurs, ceux-ci ne seront alors plus vulnérables. C’est très bien, mais cela concerne uniquement les serveurs qui auront pu être mis à jour, et parfois la mise à jour d’un serveur peut être très longue car les interdépendances entre logiciels peuvent être telles que les mises à jour sont nombreuses et que les procédures de mise à jour sont complexes… Par exemple, pour mettre à jour un logiciel sur le serveur de paiement de votre banque il faut d’abord faire la mise à jour sur un autre serveur, prendre le temps de tester le fonctionnement du ou des logiciels, puis planifier la mise à jour du serveur principal et l’effectuer. Cela peut prendre plusieurs semaines.

Mettons que tous les serveurs du monde soient à jour. Qu’advient-il des bugs de OpenSSL sur les smartphones et PC qui l’utilisent ? Là encore il y a plusieurs cas de figure :

    • OpenSSL est associé au système et tous les logiciels utilisent cette version. Dans ce cas précis, lors de la mise à jour du système, tous les logiciels bénéficieront de la correction.
    • OpenSSL est associé au système et certains logiciel seulement utilisent cette version, les autres utilisent la leur. Ici, seuls les logiciels utilisant la version du système seront protégés, pour les autres vous devrez attendre une mise à jour de l’éditeur dudit logiciel.
    • Votre système n’utilise pas OpenSSL, ce qui est le cas de iOS par exemple. Vous ne serez, en grande majorité, pas concerné. Cependant, certains logiciels embarquent leur propre version de OpenSSL et n’utilisent pas les API de cryptographie du système. Encore une fois, vous devrez attendre que vos logiciels soient mis à jour.

Tout ceci est assez complexe et technique, et a pour objectif de vous faire prendre conscience du fait que les failles ne seront jamais corrigées totalement et que seule votre vigilance peut vous éviter le pire. Pour éviter les soucis, vous pouvez vous tourner vers l’éditeur d’un logiciel et lui demander si la version que vous utilisez est sécurisée. Il vous répondra peut-être que votre logiciel n’est pas concerné mais vous aurez une réponse.

Enfin, voici un résumé des risques pour les différents systèmes et appareils :

PC Windows

Le risque est très important car Windows ne propose pas vraiment de moyen de chiffrement centralisé. OpenSSL, par exemple, n’est pas fournie par le système et tous les logiciels embarquent plus ou moins leur propre version de leur librairie de chiffrement. Pour vous en assurer, contactez l’éditeur du logiciel. Microsoft aura fait, cependant, le nécessaire pour corriger les failles dans ses propres produits.

PC GNU/Linux

Le risque est moindre que sous Windows car les distributions GNU/Linux embarquent une version centralisée et partagée de OpenSSL et de différentes bibliothèques de chiffrement. La règle pour les développeurs, sur ce type de systèmes, est d’utiliser les bibliothèques fournies par le système sauf quand ça n’est pas possible. Par conséquent, seuls certains logiciels seront concernés. Pour vous en assurer, contactez l’éditeur du logiciel.

PC OsX

Os X utilise lui aussi OpenSSL et fournit une version centralisée qui a été mise à jour immédiatement. Par ailleurs Os X fournit d’autres moyens de chiffrement qui ne sont pas concernés par les même failles (voir Goto-fail). Cependant, comme pour GNU/Linux certains éditeurs utilisent leur propre version d’une bibliothèque de chiffrement. Pour vous en assurer, contactez l’éditeur du logiciel.

Smartphone Android

Les smartphones Android sont comparables à GNU/Linux, vous devriez vous assurer auprès de l’éditeur du logiciel que celui-ci ne comporte pas de risque.

Smartphone iOs

iOS ne fournit pas OpenSSL, il est donc très peu courant de trouver des applications qui l’utilisent. Pourtant ceci ne doit pas être exclu non plus, certains éditeurs préfèrent utiliser OpenSSL dans leurs logiciels. Dans la grande majorité des cas, les éditeurs utilisent les moyens de chiffrement fournis par iOS et ne sont pas concernés par les failles comme Heartbleed, en revanche il sont concernés par Goto-fail.

Smartphone Windows

Le risque est identique à un PC sous Windows, et il est important. Vous devriez contacter les éditeurs de logiciels pour vous assurer de l’absence de risque ou de la nécessité de faire une mise à jour.

Suggestions de contenu lié à cet article
TAGS chiffrementfaillegoto failheartbleedsécuritésmartphoneSSLTLS

Aucun commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«« Je ne vois que le soleil qui rougeoie et le ciel qui bleuoie »»

Dans le texte ci dessus, de quelle couleur est le soleil  ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.