SHA1 et Cloudflare mis à mal : les RSSI auront encore pris 2 rides ce week-end

Les chercheurs en sécurité de Google ont encore frappé fort avec l’annonce de deux énormes vulnérabilités qui vont secouer le secteur de l’IT ! #Cloudbleed et #Shattered.

Le journal Le Monde a annoncé vendredi soir « Cloudbleed », le bug qui « n’aurait touché » qu’une petite partie des 5,5 millions de sites utilisant le service Cloudflare en permettant, et ce depuis septembre 2016, à de nombreuses données sensibles de s’évaporer dans la jungle du Web…
Cloudflare est un service de CDN [1] qui est souvent considéré comme « LA référence » en matière de protection contre les attaques DDOS [2]. Il est par conséquent utilisé par de très nombreux sites, comme Uber.com, FitBit.com, 1password.com ou encore NextImpact.com qui a été le premier site Français à traiter le sujet dans un article détaillant l’incident avec précision. Ceux sont donc les données envoyées par le biais de formulaires, bien souvent des identifiants accompagnés de mots de passe, mais aussi des données à caractère personnel ou encore des jetons d’authentification qui sont partis dans la nature, mais aussi dans les caches des moteurs de recherche… Même si Cloudflare annonce que seulement 150 de ses clients auraient été impactés par cette vulnérabilité et que 161 ( ?!) domaines auraient été purgés du cache de Google, il est difficile d’avoir une véritable idée de l’ampleur des dégâts. Pour le moment personne n’a annoncé détenir en masses des informations relatives à cette fuite de données, mais qui nous dit qu’une publication sur Pastebin (ou ailleurs) n’aura pas lieu dans les années à venir, comme ce fût le cas récemment pour Linkedin ou Yahoo.

On notera malgré tout le sérieux de Cloudflare qui a rapidement communiqué et résolu ce problème. Les sites utilisant ce service ont attaqué de communiquer, mais ils ne joueront peut-être pas tous la carte de la transparence.

Il ne me reste plus qu’à vous conseiller de faire le tour des sites sur lesquels vous êtes inscrit pour changer rapidement vos mots de passe s’ils utilisent le service Cloudflare. Vous pouvez vous rendre sur le site doesitusecloudflare.com pour effectuer vos recherches.
Cet incident met en évidence le risque que représente une situation de monopole ou plus communément le fait de mettre tous ses œufs dans le même panier. Si nous ramenons ce risque au secteur de la santé, imaginez un tel incident affectant le site dmp.gouv.fr !

La deuxième découverte des chercheurs de Google porte sur la fonction de hachage cryptographique SHA1, dont on connait la faiblesse depuis plus de dix ans et qui a été officiellement dépréciée par le NIST [3] en 2011. Nous le savons, de nombreux outils permettent de faire marche arrière en retrouvant un contenu à partir d’un « hash ». Si vous n’êtes pas convaincu, vous pouvez saisir un mot (pas votre mot de passe bien-sûr ;-)) sur sha1.fr, copier le hash et le passer dans cet outil : https://isc.sans.edu/tools/reversehash.html, vous allez vite comprendre. N’oubliez pas que nos mots de passe Windows sont « hachés » avec SHA1, ce qui explique qu’il soit assez facile pour une personne ayant accès à votre machine de retrouver votre mot de passe.
SHA1 est aussi utilisé pour signer numériquement des fichiers, des documents, des transactions financières… et attester de leur intégrité. Le 24 février dernier, un collectif de chercheurs a annoncé publiquement avoir réussi à créer une collision entre deux fichiers distincts pour lesquels ils ont pu accorder le même hash, soit la même signature numérique SHA1 ! Vous pouvez retrouver tous les détails sur shattered.io.

Cette démonstration nous rappelle une nouvelle fois qu’il est grand temps de jeter cette fonction aux oubliettes et de passer à minima à SHA256.
Ces découvertes vont encore causer bien des tracas à l’ensemble du secteur IT.

[1] Content delivery network : que l’on pourrait traduire par réseau de diffusion de contenu

[2] Attaque par déni de service : envoie de requêtes en masse vers un serveur dans le but de le rendre inaccessible

[3] Le National Institute of Standards and Technology, que l’on pourrait traduire par « Institut national des normes et de la technologie » est une agence du département du Commerce des États-Unis