Des pirates vendent une nouvelle faille Heartbleed

A l’heure où entreprises et fournisseurs de services travaillent à combler la faille OpenSSL Heartbleed, certains tentent d’en tirer parti. Un groupe de pirates a posté un message sur la plateforme Pastebin dans lequel ils déclarent avoir découvert une nouvelle faille au récent correctif, la version 1.0.1g du protocole de chiffrement.

Rappelons que, rendue publique le 7 avril dernier, la faille Heartbleed permet à des attaquants de récupérer en clair des données chiffrées par OpenSSL comme les identifiants et mots de passe ou numéro de carte bancaire, depuis les serveurs hébergeant la transaction mais aussi de falsifier les certificats numériques pour détourner les utilisateurs vers des sites malveillants ou encore corrompre les réseaux VPN des entreprises.

800 euros l’exploit

« Nous sommes un groupe de 5 personnes et nous avons codé jour et nuit pendant 14 jours pour voir si nous pouvions trouver une solution, et nous l’avons trouvée! », écrivent les hackers dans leur message. La solution en question n’est pas un autre correctif mais un code permettant d’exploiter cette potentielle nouvelle faille… que le groupe de pirates n’hésite pas à commercialiser. « Cet exploit ne sera pas rendu public et restera privé, nous avons codé le script en python, et nous utiliserons notre propre code pour un long moment avant que cela soit corrigé. » Le code est vendu 2,5 Bitcoin (786 euros environ à ce jour) ou encore 100 Litecoin.

Selon eux, la faille trouvée résulterait d’une mauvaise gestion dans la vérification de la variable « DOPENSSL_NO_HEARTBEATS ». « Nous avons pu contourner avec succès [la variable] et récupérer de nouveau des blocs de 64 kb de données à partir de la mise à jour. »

Doutes sur la vulnérabilité

Une tentative de tirer profit de la faille qui, si elle n’est pas inhabituelle dans le milieu des pirates ou des éditeurs spécialisés qui commercialisent leurs expertises auprès des entreprises ou agences gouvernementales, n’en laisse pas moins dubitatif les chercheurs en sécurité. Dans la discussion lancée par Dillon Korman sur Seclist.org, plusieurs commentateurs mettent en cause la réalité de l’exploit. Pour Jann Horn, « c’est de la connerie [DOPENSSL_NO_HEARTBEATS] n’est pas une variable [mais] une macro de compilation qui configure si Heartbeats (le protocole de chiffrement, NDLR) sera compilé ou non. Et parce que c’est un compilateur, un attaquant ne peut pas s’en servir. » Pour sa part, Todd Bennett trouve que le contournement de la variable par débordement de mémoire tampon « est une revendication assez surprenante [puisque] elle est dans le préprocesseur C ».

Sans entrer dans les détails techniques difficiles à mesurer en l’absence du code d’exploitation ou de démonstration de faisabilité de l’attaque, l’un des participants fait remarquer que l’adresse e-mail à laquelle renvoie les pirates a été utilisée en mars dernier pour vendre des bases de données des plate-formes transactionnelle de Bitcoins MtGox, en cours de fermeture par les autorités japonaises, et CryptoAve. Une publicité qui laisse peu de doute à la démarche illégale du groupe de pirates revendiquant une nouvelle faille OpenSSL.

OpenSSL mieux sécurisé

Si celle-ci se révèle vraie, les conséquences de son exploitation pourraient se révéler désastreuses en regard de l’usage massif de la librairie open source OpenSSL au sein des serveurs web et produits réseaux chez Cisco et Juniper, notamment. Pour y faire face, la Fondation linux a lancé le projet Core Infrastructure Initiative (CCI) qui vise à organiser le financement des développements des logiciels open source critiques pour en améliorer leur qualité en matière de sécurité. Un projet auquel se sont associés les grands noms de l’industrie : Facebook, Google, Microsoft, Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. OpenSSL est le premier bénéficiaire de cette initiative salutaire.

Lire également
Faille Heartbleed : la check-list pour s’en sortir
La faille Heartbleed fait ses premières victimes, dont le fisc canadien
Faille Heartbleed : le patch d’Akamai était vérolé
Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette