Le bug Heartbleed continue de s’étendre avec à présent aussi des problèmes pour OpenVPN et le système Tor, alors qu’Oracle a publié une liste de produits impactés.
Les entreprises qui aspirent à une sécurité maximale dans la communication de leurs collaborateurs avec les systèmes intra muros, recourent souvent à la technologie Virtual Private Network (VPN). Il semble à présent qu’une implémentation open source de cette technologie – OpenVPN – pâtisse aussi du bug Heartbleed, parce que la librairie TLS par défaut d’OpenVPN est aussi celle d’OpenSSL. L’avertissement avait déjà été lancé, mais à présent, un chercheur suédois, Fredrik Strömberg, a démontré que dans les connexions OpenVPN, les clés privées peuvent être également dérobées. Tout cela s’avère nettement plus compliqué que le vol de clés dans une connexion HTTPS, mais il n’empêche que le conseil est ici aussi d’exécuter les mises à niveau nécessaires le plus vite possible. Les entreprises qui utilisent des connexions VPN, doivent donc vérifier dans les plus brefs délais la présence d’OpenSSL et si oui, de quelle version il s’agit.
Quid du réseau Tor?
Tor, un réseau ouvert pour la communication anonyme, souffre lui aussi de Heartbleed. Sur le blog, le projet Tor a déjà cartographié toutes les menaces possibles d’Heartbleed pour les différents éléments du réseau. Entre-temps, de nouvelles suites Tor sont disponibles pour les ‘clients’, et l’on recommande, si nécessaire, à tout un chacun utilisant OpenSSL dans son système d’exploitation d’exécuter une mise à niveau. Le projet Tor lui-même a aussi sorti des serveurs ‘relay’ et ‘bridge’ du réseau, s’ils paraissaient exploiter des versions OpenSLL impactées par le bug Heartbleed. Il en est résulté dans un premier temps déjà “une capacité ‘exit’ de 12 pour cent inférieure et une capacité ‘guard’ également de 12 pour cent inférieure”, affirment les gestionnaires du projet. Ces quantités peuvent encore croître, alors que d’autres éléments du réseau vont être examinés. Les performances du réseau souffrent aussi de l’impact du bug Haertbleed.
La liste d’Oracle
De plus, Oracle vient aussi de publier une liste de produits “qui reposent sur OpenSSL, avec des informations sur leur statut actuel eu égard aux versions OpenSSL qui ont déjà été qualifiées de vulnérables au bug Heartbleed”. Pour un certain nombre d’entre eux, des patches sont déjà disponibles, alors que pour d’autres, l’on y travaille encore, de sorte qu’Oracle continuera de mettre sa liste à jour. Elle y mentionne aussi les produits qui exploitent des versions OpenSSL non touchées.
Oracle y ajoute une liste de produits qui, tels quels, n’utilisent pas OpenSSL et ne pâtissent donc pas du bug Heartbleed. Mais les utilisateurs sont quand même invités “à contrôler l’environnement technique encadrant ces produits pour y détecter des éléments susceptibles d’être impactés par le bug en question.”
