Accueil
Cyberécurité

Trois ans après, 200 000 service sont toujours vulnérables à Heartbleed

Cédric Mialaret
Cyberécurité

En avril 2014, Heartbleed, une vulnérabilité critique d’OpenSSL était découverte par le spécialiste de la sécurité Codenomicon Defensics.

Référencée par le code CVE-2014-0160, elle permet à des personnes malintentionnées de décrypter les sessions protégées pas SSL ou TLS en cours, voire des sessions terminées, et de se faire passer pour un serveur authentique.

OpenSSL est une librairie de cryptographie essentielle, au cœur de la confidentialité et de la protection des communications sur Internet.

À l’époque, des tests pour vérifier la vulnérabilité éventuelle de serveurs, ainsi qu’un correctif de sécurité, furent mis à disposition des professionnels de l’informatique.

Près de 616 000 serveurs étaient alors infectés.

Deux mois et demi après, il restait 310 000 serveurs infectés.

Aujourd’hui, presque trois ans après, 200 000 services sont toujours vulnérables d’après Shodan

Derrières les États-Unis, la Corée du Sud, la Chine et l’Allemagne, la France se place en cinquième position des pays les plus exposés, avec 8 702 serveurs vulnérables.

Parmi les entreprises les plus touchées, OVH SAS arrive en 7e position.

Sans surprise, les services les plus affectés sont les connexions Web sécurisées (HTTPS), les logiciels les plus affectés sont les serveurs Web Apache et Nginx, ainsi que le pare-feu FortiWifi 80C, et les systèmes d’exploitations les plus touchés sont Linux 3x et 2.6 (la version stable actuelle est 4.9.5)

Les administrateurs systèmes n’ont aucune excuse pour ne pas avoir appliqué le correctif de sécurité, ou mis à jour OpenSSL sur leurs systèmes.

Cette statistique illustre malheureusement à nouveau le manque de professionnalisme de certains d’entre eux.

De la même manière que Stuxnet, un logiciel malveillant dévoilé il y a six ans par Microsoft est toujours activement exploité, et que la plupart des vulnérabilités encore exploitées d’Office visent les versions antérieures à 2010.