Heartbleed (CVE-2014-0160).

Divulgué en avril 2014 et découvert indépendamment par Neel Mehta de Google et par la société finlandaise Codenomicon, Heartbleed (CVE-2014-0160) est une vérification de bornes manquante dans OpenSSL 1.0.1 à 1.0.1f, au sein de l'extension heartbeat TLS/DTLS (RFC 6520). Une requête heartbeat transporte une charge utile accompagnée d'un champ de longueur ; le code vulnérable faisait confiance à la longueur fournie par l'attaquant sans la confronter à la charge utile réelle, si bien que le serveur copiait jusqu'à 64 Ko de mémoire tas adjacente dans sa réponse via memcpy. Chaque requête fuitait une nouvelle tranche — silencieusement, sans authentification et sans laisser la moindre entrée dans les journaux de la victime.

La mémoire exposée contenait fréquemment des clés privées RSA, des cookies de session, des noms d'utilisateur, des mots de passe et des corps de messages déchiffrés. Des incidents réels ont rapidement suivi : l'Agence du revenu du Canada a perdu environ 900 numéros d'assurance sociale de contribuables, et la fuite de Community Health Systems a exposé près de 4,5 millions de dossiers de patients via une appliance VPN Juniper vulnérable. Comme la Perfect Forward Secrecy était rare en 2014, une clé privée volée permettait aux attaquants de déchiffrer du trafic capturé auparavant. Le correctif est sorti dès le lendemain dans OpenSSL 1.0.1g, qui valide la longueur. Une remédiation correcte impliquait aussi de faire tourner tous les certificats et clés et d'invalider toutes les sessions, puisque l'exfiltration était indétectable.

flowchart TD
  A[Attaquant] -->|"Heartbeat : charge utile de 1 octet, en déclare 64 Ko"| B[OpenSSL 1.0.1-1.0.1f]
  B --> C{Longueur vérifiée<br/>par rapport à la charge utile ?}
  C -->|"Non (vulnérable)"| D["memcpy lit 64 Ko<br/>de mémoire tas adjacente"]
  D --> E[La réponse fuite clés RSA,<br/>cookies de session, mots de passe]
  E --> A
  C -->|"Oui (1.0.1g+)"| F[La réponse ne renvoie<br/>que la charge utile réelle]