Des experts mettent en garde contre d'éventuels bogues critiques dans OpenSSL
Les principaux fournisseurs de systèmes d'exploitation, éditeurs de logiciels, fournisseurs de services de messagerie électronique et entreprises technologiques qui intègrent OpenSSL dans leurs produits ont été invités à se préparer à une éventuelle vulnérabilité "critique" dans les versions 3.0 et supérieures de presque toutes les bibliothèques cryptographiques.
OpenSSL est une bibliothèque logicielle destinée aux applications qui protège les communications sur les réseaux informatiques contre l'écoute clandestine ou l'identification de la partie à l'autre bout. Il est principalement utilisé par les serveurs internet, dont la plupart sont des sites web HTTPS.
Le correctif destiné à combler la faille non encore divulguée dans les versions actuelles de la technologie sera publié dans une nouvelle version d'OpenSSL (version 3.0.7) prévue pour le mardi 1er novembre. Bien que la version mise à jour de la technologie sera publiée en même temps que le projet OpenSSL, elle laissera potentiellement des millions d'autres personnes avec un délai imminent pour trouver et corriger la vulnérabilité avant que les attaquants ne commencent à l'exploiter.
Les chercheurs craignent que cette nouvelle vulnérabilité ne soit un énième bug Heartbleed. CVE-2014-0160, une vulnérabilité Heartbleed découverte en 2014, permet aux attaquants d'intercepter les communications Internet et de voler les données des services et des utilisateurs, et permet aux attaquants de se faire passer pour des services et d'effectuer des activités malveillantes qui laissent peu de traces pour suivre leurs actions.
Tout ce qui communique de manière sécurisée avec l'Internet pourrait potentiellement avoir OpenSSL intégré. Outre les logiciels, le matériel peut également être affecté.
Les informations préalables fournies par le projet OpenSSL donnent aux organisations le temps de s'y préparer.
Selon Mike Parkin, ingénieur technique principal chez Vulcan Cyber, en l'absence d'activité d'exploitation et d'indicateurs de compromission connexes, les organisations doivent suivre leur processus normal de gestion des changements lorsqu'une mise à jour connue est en cours.
Étant donné que certaines organisations ont déjà fait face à Heartbleed, elles sont censées savoir où se trouvent leurs installations OpenSSL, car les produits de leurs fournisseurs l'exigent pour la mise à jour.
Pour John Barnbenek, chasseur de menaces en chef chez Netenrich, l'un des problèmes probables auxquels les organisations doivent se préparer est de savoir comment gérer les produits en fin de vie pour lesquels les mises à jour ne sont pas disponibles.
Les sources de cette pièce sont un article de DarkReading.