Heartbleed et OpenSSL : sites sûrs, vulnérables et comment se protéger

Qu’est‑ce que Heartbleed en une ligne

Heartbleed est une vulnérabilité dans la bibliothèque OpenSSL qui permettait de lire une portion de la mémoire du serveur via la requête heartbeat, potentiellement exposant clés privées, mots de passe et données utilisateurs.

Contexte rapide

Techworm a signalé la faille surnommée #heartbleed et a publié une liste des grands sites évalués au moment de la découverte. La vulnérabilité existait dans des versions précises d’OpenSSL et a été corrigée via une mise à jour. Cependant, au moment du rapport initial, beaucoup de sites n’avaient pas encore appliqué le correctif.

Liste des sites signalés par Techworm et leur statut

La liste suivante reprend la classification fournie dans le rapport d’origine. Si vous utilisez un de ces services, suivez les recommandations de sécurité plus bas.

1. Google.com : Non vulnérable.
2. Facebook.com : Non vulnérable.
3. YouTube.com : Non vulnérable.
4. Amazon.com : Non vulnérable.
5. Yahoo.com : Était vulnérable. Yahoo Mail et d’autres services Yahoo ont été corrigés depuis.
6. Wikipedia.org : Non vulnérable.
7. LinkedIn.com : Aucun SSL.
8. eBay.com : Aucun SSL.
9. Twitter.com : Non vulnérable.
10. Craigslist.org : Non vulnérable.
11. Bing.com : Aucun SSL.
12. Pinterest.com : Non vulnérable.
13. Blogspot.com : Non vulnérable.
14. Go.com : Non vulnérable.
15. CNN.com : Aucun SSL.
16. Live.com : Aucun SSL.
17. PayPal.com : Non vulnérable.
18. Instagram.com : Non vulnérable.
19. Tumblr.com : Était vulnérable. Corrigé depuis.
20. ESPN.go.com : Non vulnérable.
21. WordPress.com : Non vulnérable.
22. Imgur.com : Non vulnérable.
23. HuffingtonPost.com : Aucun SSL.
24. reddit.com : Non vulnérable.
25. MSN.com : Aucun SSL.

Important : la mention “Aucun SSL” signifie qu au moment du test le site n utilisait pas de connexion SSL accessible via le port standard testé, pas nécessairement qu il était totalement non sécurisé pour d autres usages.

Services de test et outils évoqués

Techworm mentionnait l existence d un testeur Python dans son rapport initial, ainsi qu une extension Chrome qui signale immédiatement les sites vulnérables lors de la saisie d une URL. Par ailleurs, des services publics fournissent des diagnostics gratuits où vous pouvez entrer l URL que vous souhaitez vérifier.

Services cités dans le rapport original qui proposent un test :

1. Filipo.io
2. Lastpass.com

De plus, une vidéo explicative de Yahoo était fournie pour contextualiser la faille.

Dberkholz sur GitHub a compilé une liste plus longue (512 sites parmi les 10000 premiers d Alexa) qui étaient vulnérables au moment de l analyse.

Que faire si vous êtes utilisateur

• Changez immédiatement vos mots de passe sur les services concernés, après vous être assuré que le site a été corrigé.
• Activez l authentification à deux facteurs lorsque c est possible.
• Surveillez vos comptes bancaires et relevés de carte pour toute activité suspecte.
• Contactez le support du site si vous ne voyez pas d annonce publique indiquant que la mise à jour OpenSSL a été appliquée.

Note : changer votre mot de passe avant que le site ait re généré et révoqué ses certificats privés peut être insuffisant si la clé privée du serveur a été exposée. Attendez la confirmation de la correction et la rotation des certificats pour effectuer des changements critiques.

Que faire si vous êtes webmaster ou administrateur système

• Mettez à jour OpenSSL vers la version corrigée immédiatement.
• Après la mise à jour, révoquez et réémettez les certificats TLS/SSL si vous pensez que la clé privée a pu être compromise.
• Redémarrez les services qui utilisent OpenSSL pour charger la bibliothèque mise à jour.
• Publiez une alerte aux utilisateurs expliquant les actions prises et s ils doivent changer leurs mots de passe.
• Vérifiez les dépendances et les appliances réseau (ex. CDN, load balancers) pour s assurer qu elles sont aussi patchées.

Important : la simple installation du correctif ne protège pas les utilisateurs si la clé privée du site a été divulguée. La rotation des certificats est une étape critique.

Mini‑méthodologie de vérification pour équipes techniques

• Recueillir les versions d OpenSSL installées sur les serveurs.
• Comparer la version à la liste des versions vulnérables documentées publiquement.
• Utiliser un outil de diagnostic (script fourni, extension navigateur ou service de test en ligne) pour vérifier le comportement du heartbeat.
• Sur un serveur de préproduction, reproduire la mise à jour et vérifier l absence de régression avant déploiement en production.

Décider rapidement : arbre de décisions (heuristique)

• Si service critique et version vulnérable -> patch immédiat + rotation de certificats.
• Si service non critique mais exposé publiquement -> patch et audit des logs.
• Si service interne isolé -> patch lors de la prochaine fenêtre mais planifier audit.

Liste de contrôle par rôle

Pour les utilisateurs finaux :

• Vérifier si vos services utilisés figurent dans une liste publique de sites corrigés.
• Changer mots de passe après confirmation de la correction.
• Activer 2FA.

Pour les administrateurs :

• Patch OpenSSL sur tous les hôtes.
• Redémarrer les services affectés.
• Révoquer et réémettre les certificats si nécessaire.
• Informer les utilisateurs.

Glossaire rapide

• Heartbleed : vulnérabilité permettant la fuite de mémoire depuis un serveur OpenSSL.
• OpenSSL : bibliothèque logicielle utilisée pour implémenter SSL/TLS.
• SSL/TLS : protocoles de chiffrement pour les communications réseau.
• CDN : réseau de diffusion de contenu qui peut protéger ou diffuser des correctifs selon la configuration.

Contre‑exemples et limites

• Un site annoncé comme “non vulnérable” peut redevenir vulnérable si le serveur est restauré depuis une sauvegarde non patchée.
• Les appliances réseau ou version packagée d OpenSSL dans des appliances tierces peuvent rester vulnérables si elles ne sont pas mises à jour par le fournisseur.

Confidentialité et conformité

Si les données personnelles ont été potentiellement exposées, informez‑vous des obligations légales locales en matière de notification des violations de données. Dans l Union européenne, le RGPD impose des obligations de notification pour les violations présentant un risque pour les droits et libertés des personnes.

Conclusion et recommandations clés

• Vérifiez si les sites que vous utilisez ont été corrigés avant de changer des mots de passe importants.
• Les administrateurs doivent patcher OpenSSL et, si nécessaire, révoquer puis réémettre les certificats TLS/SSL.
• Utilisez des outils de diagnostic fiables et conservez une procédure de réponse aux incidents documentée.

Résumé : Heartbleed a été une vulnérabilité sérieuse qui a affecté de nombreux serveurs. Bien que beaucoup de sites majeurs aient été corrigés, la vigilance reste de mise. Changez vos mots de passe après confirmation de la correction, activez 2FA, et pour les administrateurs, appliquez les mises à jour et rotatez les certificats.