Une semaine après la révélation du bug Heartbleed, de nombreux rapports ont fait part de l’exploitation de la faille de sécurité et de cyber-attaques ciblant cette vulnérabilité. Bien que les fabricants de serveurs soient en train de fournir des correctifs à appliquer en urgence sur les équipements pour protéger les utilisateurs, les attaques commencent à se multiplier.
Au Canada, le site du fisc qui avait été fermé par mesure de précaution le 8 avril avant de le rouvrir 13 avril, vient d’annoncer avoir été victime du vol de 900 numéros d’assurance sociale. A noter que le pirate présumé, un internaute de 19 ans, a été arrêté. Au Royaume-Uni, la faille a été utilisée sur le site dédié aux parents Mumset pour accéder aux données de plus de 1,5 millions d’usagers du forum. Pour rappel, il était indiqué, au lancement des alertes, que le piratage ne pouvait se détecter.
Si en France aucune attaque n’a encore été relevée, le Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques (CERT-FR) a remis à jour hier le bulletin d’alerte émis le mardi 8 avril, pour prévenir des risques liés à Heartbleed et indiquer les mesures à prendre pour se protéger. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, indique que « Nous étions probablement nombreux à prédire qu’il finirait par y avoir une faille comme celle-ci, et si Heartbleed semble être exploité aux Etats-Unis et au Canada, nous ne tarderons peut-être pas à assister à la publication de rapports similaires en France. » A noter que la CNIL a diffusé d’une page dédiée à cette faille et aux règles à tenir par les administrateurs.
La situation est clairement préoccupante dans la mesure où les données sensibles sur la mémoire d’un serveur cloud peuvent comprendre de nombreuses informations comme des noms d’utilisateurs, des mots de passe ou encore des numéros de comptes et des clés privées. Et comme si cela ne suffisait pas, l’exploitation de cette faille est extrêmement facile et il n’y a pas besoin d’être un hacker professionnel pour y parvenir, même les non-expérimentés seront susceptibles d’y arriver.
Changement de mot de passe
Nous sommes dans une situation où réagir de manière hâtive et radicale pourrait bien être le contraire de ce qu’il faut faire. Si votre fournisseur est toujours vulnérable, c’est-à-dire que le problème n’a pas été corrigé et qu’il n’y a pas eu de patch installé, et que vous changez vos mots de passe comme certains vous recommandent de le faire, vous allez rendre le nouveau mot de passe vulnérable. La situation est telle qu’il vaut mieux prendre le temps de la réflexion et porter une attention particulière aux informations communiquées par les entreprises qui détiennent vos données et agir en conséquence.
Confiance dans les sites sécurisés
Cette situation illustre parfaitement le niveau de confiance qui peut être accordé à la sécurité des technologies telles que les protocoles SSL. Les utilisateurs partent du principe que s’il y a un cadenas visible sur le site, leurs données sont protégées et transmises de façon sécurisée. Cela est vrai dans la plupart des cas mais le risque zéro n’existe pas. Nous encourageons les internautes à être plus méfiant en sécurité en général et d’agir comme s’il y avait toujours la possibilité d’être la cible d’un hacker.
Impératif de surveillance en continue et temps réel
Alors que nous entrons dans la phase d’exploitation potentielle de la faille, chaque entreprise doit surveiller de manière continue et en temps réel la moindre activité sur ses réseaux. Si des clés secrètes sont volées, la personne à l’origine de l’attaque pourra prendre le contrôle du trafic destiné aux applications et accéder à des échanges des données privées et sensibles – comme lors de transactions financières. La seule manière d’y remédier est d’être capable de surveiller méticuleusement le réseau et d’identifier les comportements anormaux. Nous pourrions bien être témoins d’attaque à grande échelle et les organisations doivent être vigilantes à la fois pour se protéger et protéger leurs clients. »
Google montre les dents
Google serait sur le point d’intégrer le chiffrement à sa liste de critères de référencement, favorisant ainsi le développement massif des sites chiffrés. Cette méthode basée sur le cryptage et censée renforcer la protection des sites et des navigateurs est en pleine explosion. Elle pourrait pourtant remettre en question les stratégies de sécurité des entreprises ; en effet, les employés seront de plus en plus amenés à naviguer sur sites chiffrés (et donc opaques), leur entreprise ayant peu de moyens d’évaluer leur niveau de malveillance. Si aujourd’hui la volumétrie moyenne de flux chiffrés est souvent comprise entre 20 et 40% de la totalité trafic de surf, il est fort à parier qu’une telle initiative fera rapidement croître ce pourcentage de manière significatif.
Plus le surf chiffré est important, moins les solutions mises en place dans les entreprises contre les menaces provenant du web seront efficaces ? Les solutions de sécurité et les investissements liés seront de moins en moins pertinents. C’est d’autant plus vrai que selon le dernier rapport du NSS Lab, déchiffrer les flux fait chuter les performances des équipements de sécurité de près de 74%. Les entreprises doivent-elles se préparer à être aveugle sur plus de la moitié des trafics de surf de leurs collaborateurs ?
Des solutions existent et permettent aux entreprises de bénéficier de technologies dédiées au déchiffrement et de gérer la volumétrie croissante et les besoins en termes de bande passante. Préserver la performance sans générer de latence. D’alimenter plusieurs solutions de sécurité en simultanée (Un déchiffrement unique pour plusieurs technologies). De mettre en place une politique de déchiffrement adaptée aux réglementations locales. C’est donc un enjeu crucial auquel sont confrontées les entreprises et qui doit désormais être pris en considération afin de garantir un niveau élevé de protection contre les menaces tout en respectant les obligations de traçabilité imposées par les différentes réglementations.