HeartBleed : un peu moins de 3 ans après, que reste t-il de la faille ? (keep bleeding love)

Dévoilée officiellement en Avril 2014 (cf. >article< !), la vulnérabilité Heartbleed avait touché pas moins d’environ 500 000 terminaux / serveurs, « grâce » à une erreur malencontreuse au sein du code OpenSSL de Robin Seggelmann, rendant une partie du code vulnérable (validé, donc revérifié, en théorie…) et permettant potentiellement à un individu malveillant de ponctionner un flot quasi-illimité de données sensibles / personnelles… Environ 3 ans après, est-ce que tout les systèmes ont colmaté la faille en mettant à jour la fameuse bibliothèque ?

 

 

Et, la réponse, c’est Shodan (un moteur de recherche de balayage massif de ports) qui nous la livre ou du moins des éléments de réponse… En effet, premier constat fâcheux : la faille n’est toujours pas mondialement colmatée puisqu’il resterait 199 594 terminaux / serveurs concernés dont une large majorité implantés aux Etats-Unis (42 032), la France étant tristement cinquième, tout de même, du classement (8 702). A noter que la Corée (15 380) et la Chine sont respectivement deuxième et troisième (14 116).

Plus en profondeur et donc sans surprise à la vue du classement évoqué ci-dessus, on retrouve des sites Américains directement concernés tels qu’Amazon.com (5 163), Verizon Wireless (4 347) ou encore les Telecom Coréens (4 147). OVH SAS n’est pas en reste (3 133). On retiendra que la majorité large repose sur l’HTTP/1.1 et que 51 983 serveurs sous Apache (HTTPD) ne sont donc toujours pas mis à jour logiciellement par rapport à Heartbleed…

 

Côté certification, si la plupart ont tout de même un œil sur la validité de ceux-ci (119 948), reste une bonne partie des administrateurs qui ont fait du laxisme leur domaine de prédilection (74 865). Sont principalement concerné les systèmes tournant sous Linux (3.X, 1 654 terminaux / serveurs), avec une large majorité de postes en version sécuritaire TLS 1.0 (198 173). Le SSL perdure aussi et est concerné, via la version 3.0 (à hauteur de 184 124).

Colmater une brèche aussi importante, même environ trois ans après, reste donc une tâche ardue pour certain(e)s, à moins, bien évidemment, qu’ils ne leur manquent quelques éléments de réponse pour parfaire cette mise à jour d’OpenSSL, pourtant très simple pour un administrateur. Reste, certes, la mise en place ou le lancement de procédure à l’égard des certificats qu’il faut renouveler ; inutile de dire que pour le restant incriminé, il aurait fallu le faire depuis 2014, au risque de devoir accélérer légèrement l’ensemble non sans heurts… A suivre !

 

Source : Shodan.io – Rapport Heartbleed – Janvier 2017.