L'après Heartbleed

Avec quelques jours de recul nécessaire à l'analyse du risque, voici notre compte-rendu concernant la vulnérabilité qui a secoué la semaine.

Comme plusieurs d'entre vous l'ont probablement déjà entendu, certains suite aux interruptions de service de lundi dernier, d'autres dans la presse, la semaine dernière a été plutôt chaotique dans le monde de la sécurité et de l'Internet en général. Pour faire bref, la vulnérabilité Heartbleed (CVE-2014-0160) touche OpenSSL, l'une des implémentations les plus populaires des protocoles SSL et TLS, à la base de la plupart des connexions sécurisées sur Internet. Elle compromet d'une part la sécurité des communications, d'autre part les données internes de certains services. Si les chiffres avancés par la presse sont plus alarmants que la réalité (des statistiques réalistes ont montré près d'un dixième des sites Web vulnérables par exemple, contrairement aux deux-tiers avancés par certains), la réalité n'en est pas moins critique.

Cette vulnérabilité a affecté quelques-uns des plus gros acteurs de l'Internet, dont les géants du Web. Elle n'a pas manqué d'impacter TeDomum puisque les services suivants étaient vulnérables sur notre infrastructure depuis le mois de janvier :

  • tous nos frontaux Web, impactant donc toutes les applications Web (celles auxquelles vous accédez en HTTPS, parmi lesquelles le Webmail, l'administration des BNC, les pads, le client Web Jabber, l'administration des domaines, des mails, etc.) ;
  • tous nos frontaux mails, vous impactant donc très probablement si vous récupérez vos e-mails en IMAP ;
  • nos serveurs Jabber ;
  • nos serveurs de Bouncers ;
  • notre serveur Mumble.

Nous avons réagi immédiatement et les mises à jour ont été appliquées dans la nuit de lundi à mardi, entraînant plusieurs interruptions de service dont nous nous excusons.

Impact sur le plan théorique

Concernant nos applications Web, nous utilisons des frontaux de type « nginx ». La vulnérabilité n'a donc impacté que les frontaux, compromettant la sécurité des communications, dont les identifiants utilisateur, laissant potentiellement fuiter également plusieurs sessions d'utilisateurs en ligne. Concernant les serveurs mail, les identifiants utilisateur ont pu fuiter de même que plusieurs courriers en cours de distribution au moment de l'exploitation. Concernant les serveurs Jabber, les identifiants utilisateur, les listes de contacts, les messages hors ligne et les conversations en cours auraient pu fuiter. Enfin, concernant les bouncers, les identifiants utilisateur, la configuration des comptes (dont les mots de passe sur les serveurs annexes le cas échant) et les messages hors ligne auraient pu fuiter.

Notre posture en pratique

Dans la réalité, l'analyse de risque est bien plus clémente. TeDomum est un petit acteur et s'il est théoriquement possible que la vulnérabilité ait été exploitée à notre insu entre son introduction en production en janvier et la publication cette semaine, il est fort peu probable qu'elle l'ait été par un individu malveillant nous ciblant directement.

Les quelques heures entre la publication et la mise à jour de l'infrastructure nous mettent à l'abri des nombreuses attaques qui ont suivi au cours de la semaine et dont plusieurs grands noms du Web ont fait les frais.

Nous envisageons tout-de-même le pire des scénarios afin d'assurer la sécurité de notre infrastructure. Aussi, l'ensemble des paires de clés sécurisant vos communications seront prochainement remplacées sur nos serveurs. De même, les canaux sécurisés utilisés par les administrateurs sont en passe d'être remplacés.

Changement de vos mots de passe

Toujours dans l'optique de parer au pire des scénarios, les mots de passe de tous les administrateurs de la plateformes seront renouvelés. Nous invitons également l'ensemble des utilisateurs à profiter de l'occasion pour renouveler le leur.

Enfin, les données confidentielles stockées sur les différents services (notamment les mots de passe de comptes IRC stockés sur les bouncers) devraient également être considérées comme compromises. Nous vous invitons donc à renouveler les mots de passe en question.

Si vous ne le faites pas régulièrement, il est également temps de changer votre mot de passe sur la plupart des services que vous employez quotidiennement en dehors de TeDomum (à commencer par les plus visités).