Faille SSL Heartbleed : Audit du top 500 des sites Internet Français

La nouvelle faille SSL Heartbleed (CVE-2014-0160) qui fait trembler Internet depuis ces dernières heures semble toucher de nombreux sites Web sur la toile d'après les premiers articles publiés.
Cette faille peut permettre à un pirate de lire jusqu'à 64Ko de la RAM d'un serveur web distant sans aucune trace d'intrusion. Je vous laisse imaginer les informations auxquelles un attaquant pourrait avoir accès à distance et les conséquences associées.

Pour vérifier l'impact de cette faille sur les 500 plus gros sites Internet français , j'ai développé en quelques lignes un script en PHP qui extrait le top 500 des sites internet français du classement Alexa et qui les audite grâce à l'application Heartbleeder téléchargeable ici.

<?php

for ($i = 0; $i< 19 ;$i++){
$page = file_get_contents("https://www.alexa.com/topsites/countries;".$i."/FR");

preg_match_all('/<a href=\"\/siteinfo\/[\da-z\.-]+\.[a-z\.]{2,6}\">(.*)<\/a>/i', $page, $matches);
foreach ($matches[1] as $match){
        echo "# ".$match;
        $result = exec("./heartbleeder $match");
        if (preg_match('/VULNERABLE/i',$result)){
                echo (' :: VULNERABLE');
        }
        echo "</br>";
}
}

?>

Voici le résultat de l'exécution de mon script cette nuit :

1. Google.fr :: VULNERABLE
2. Google.com :: VULNERABLE
3. Facebook.com
4. Youtube.com :: VULNERABLE
5. Wikipedia.org :: VULNERABLE
6. Yahoo.com :: VULNERABLE
7. Leboncoin.fr
8. Orange.fr
9. Amazon.fr
10. Live.com
11. Free.fr
12. Linkedin.com
13. Twitter.com
14. Lemonde.fr
15. Lefigaro.fr
16. Adcash.com
17. Ebay.fr
18. Tukif.com
19. Commentcamarche.net
20. Wordpress.com
21. Tumblr.com :: VULNERABLE
22. Allocine.fr
23. Lequipe.fr
24. Ad6media.fr
25. Viadeo.com
26. Linternaute.com
27. Pagesjaunes.fr
28. Sfr.fr
29. Nouvelobs.com
30. Akamaihd.net
31. Jeuxvideo.com
32. Programme-tv.net
33. Leparisien.fr
34. Xhamster.com :: VULNERABLE
35. Dailymotion.com
36. Cdiscount.com
37. Over-blog.com
38. Pinterest.com :: VULNERABLE
39. Msn.com
40. M2newmedia.com
41. T.co
42. Ovh.com
43. 20minutes.fr
44. Instagram.com :: VULNERABLE
45. Pole-emploi.fr
46. Microsoft.com
47. Bing.com
48. Lexpress.fr
49. Priceminister.com
50. Societe.com
51. Apple.com
52. Vube.com
53. Stackoverflow.com :: VULNERABLE
54. Paypal.com
55. Voyages-sncf.com
56. Journaldunet.com
57. Xvideos.com
58. Clkmon.com
59. Credit-agricole.fr
60. Livejasmin.com
61. T411.me
62. Aufeminin.com
63. Ovh.net
64. Fnac.com
65. Deezer.com
66. Vente-privee.com
67. Boursorama.com
68. Reverso.net
69. Tf1.fr
70. Ask.com
71. Meteofrance.com
72. Youporn.com
73. Labanquepostale.fr
74. Bfmtv.com
75. Liberation.fr
76. Laposte.net
77. Pornhub.com
78. Lesechos.fr
79. Wordreference.com
80. Amazon.com
81. 01net.com :: VULNERABLE
82. Outbrain.com :: VULNERABLE
83. Seloger.com
84. Lepoint.fr
85. Adxcore.com :: VULNERABLE
86. Gameforge.com
87. Clubic.com
88. Booking.com
89. Huffingtonpost.fr
90. Googleusercontent.com
91. Doctissimo.fr
92. Openclassrooms.com :: VULNERABLE
93. Webrankinfo.com
94. Dpstream.net :: VULNERABLE
95. Prestashop.com :: VULNERABLE
96. Bnpparibas.net
97. Badoo.com :: VULNERABLE
98. Vimeo.com
99. Caisse-epargne.fr
100. Zone-telechargement.com :: VULNERABLE
101. Wikimedia.org :: VULNERABLE
102. Wordpress.org :: VULNERABLE
103. Canalblog.com
104. Service-public.fr
105. Societegenerale.fr
106. Cpasbien.me :: VULNERABLE
107. Francetvinfo.fr
108. Imgur.com
109. Canalplus.fr
110. Rueducommerce.fr
111. Caf.fr
112. Canadaalltax.com
113. Flickr.com :: VULNERABLE
114. Vivastreet.com
115. Banquepopulaire.fr
116. Mysearchdial.com :: VULNERABLE
117. Colissimo.fr
118. Themeforest.net
119. Developpez.net
120. Eurosport.fr
121. Neobux.com :: VULNERABLE
122. Voila.fr
123. Tripadvisor.fr
124. Conduit.com
125. Skyrock.com
126. Redtube.com :: VULNERABLE
127. Adobe.com
128. Ouest-france.fr
129. Aliexpress.com
130. Leroymerlin.fr
131. Admngronline.com
132. Marmiton.org
133. Yeslibertin.com :: VULNERABLE
134. Paruvendu.fr
135. Imdb.com
136. Meetic.fr
137. Europe1.fr :: VULNERABLE
138. Laredoute.fr
139. Google.co.uk :: VULNERABLE
140. Ratp.fr
141. Indeed.fr
142. Lcl.fr
143. Bouyguestelecom.fr
144. Ebay.com
145. Php.net :: VULNERABLE
146. Kickass.to :: VULNERABLE
147. Slideshare.net
148. Hardware.fr
149. 1and1.fr
150. Forgeofempires.com
151. Fotolia.com
152. Reddit.com
153. Thepiratebay.se
154. Linguee.fr
155. Xnxx.com
156. Laposte.fr
157. Blogspot.com :: VULNERABLE
158. Potins.net
159. Goodgamestudios.com
160. Soundcloud.com
161. Ikea.com
162. Scoop.it :: VULNERABLE
163. Zimbra.free.fr :: VULNERABLE
164. Rtl.fr
165. Lesnumeriques.com
166. Castorama.fr :: VULNERABLE
167. Ladepeche.fr
168. Adopteunmec.com :: VULNERABLE
169. Larousse.fr
170. Apec.fr
171. 1fichier.com :: VULNERABLE
172. Interieur.gouv.fr
173. Metronews.fr
174. Journaldesfemmes.com
175. Atlantico.fr
176. Sourceforge.net
177. Mappy.com
178. Lacentrale.fr
179. Mes-meilleurs-films.fr
180. Mozilla.org
181. Darty.com :: VULNERABLE
182. Creditmutuel.fr
183. Thefreecamsecret.com
184. Amoureux.com
185. Purepeople.com
186. E-monsite.com :: VULNERABLE
187. Deviantart.com
188. Leguide.com
189. Uptobox.com :: VULNERABLE
190. Uploaded.net :: VULNERABLE
191. Zanox.com
192. Footmercato.net
193. Sudouest.fr
194. France3.fr
195. Showroomprive.com
196. Carrefour.fr
197. Battle.net
198. Alibaba.com
199. Koramgame.com
200. Ldlc.com
201. Openadserving.com
202. Semrush.com
203. Bestusefuldownloads.com
204. Tradedoubler.com
205. Koreus.com :: VULNERABLE
206. Adserverpub.com
207. Wiktionary.org :: VULNERABLE
208. Pap.fr
209. Fdj.fr
210. Minutebuzz.com
211. Netvibes.com :: VULNERABLE
212. Slate.fr :: VULNERABLE
213. Egaliteetreconciliation.fr :: VULNERABLE
214. Ameli.fr
215. Awesomehp.com
216. Cam4.fr
217. Latribune.fr
218. Github.io
219. Jeanmarcmorandini.com
220. 9gag.com :: VULNERABLE
221. Twitch.tv
222. Papystreaming.com
223. Bp.blogspot.com
224. Zalando.fr
225. Scrutins.net
226. Portail.free.fr
227. Alsacreations.com
228. You-will-date.com
229. Journaldugeek.com
230. Dropbox.com :: VULNERABLE
231. Dl-protect.com :: VULNERABLE
232. Tomsguide.fr
233. Wikia.com :: VULNERABLE
234. Mobile.free.fr
235. Asos.fr
236. Github.com :: VULNERABLE
237. Groupon.fr
238. Topito.com
239. Airfrance.fr
240. Onvasortir.com
241. Frandroid.com
242. Imp.free.fr
243. Spi0n.com :: VULNERABLE
244. Betclic.fr
245. Files.wordpress.com
246. Francetv.fr
247. Tube8.com
248. Ad2games.com :: VULNERABLE
249. Telerama.fr
250. Lavoixdunord.fr
251. Frenchweb.fr
252. Decathlon.fr
253. Impots.gouv.fr
254. Torrentz.eu :: VULNERABLE
255. 3suisses.fr
256. Voici.fr :: VULNERABLE
257. Mediapart.fr
258. Centerblog.net
259. Materiel.net :: VULNERABLE
260. Systweak.com
261. Forumactif.com
262. Hellocoton.fr
263. Pcinpact.com
264. Bbc.com
265. Comprendrechoisir.com :: VULNERABLE
266. Korben.info :: VULNERABLE
267. Cic.fr
268. Vpsdomain4.eu
269. Archive.org :: VULNERABLE
270. Premiere.fr :: VULNERABLE
271. Themightyquest.com
272. Zeobit.com :: VULNERABLE
273. Snapdo.com
274. Full-stream.net :: VULNERABLE
275. Bbc.co.uk
276. Aeriagames.com
277. Shutterstock.com
278. Onclickads.net
279. Wix.com
280. Legifrance.gouv.fr
281. Millenium.org :: VULNERABLE
282. Challenges.fr
283. Chaturbate.com :: VULNERABLE
284. Lachainemeteo.com
285. Netaffiliation.com
286. Amazonaws.com
287. Arte.tv
288. Gandi.net
289. Logic-immo.com
290. Wawa-mania.ec
291. Adsl.free.fr
292. Softonic.fr
293. Vk.com
294. Viamichelin.fr
295. Jacquieetmicheltv.net
296. Alittlemarket.com
297. Trovigo.com
298. Doublepimp.com
299. W3schools.com
300. Paris.fr :: VULNERABLE
301. Gamekult.com
302. Auchan.fr
303. Covoiturage.fr :: VULNERABLE
304. Boulanger.fr
305. Forum-auto.com
306. Mailchimp.com
307. Iminent.com
308. Urssaf.fr
309. Pagesperso-orange.fr
310. Gentside.com :: VULNERABLE
311. Wannonce.com :: VULNERABLE
312. Midilibre.fr
313. Netechangisme.com
314. Spartoo.com :: VULNERABLE
315. Travelagency.travel
316. Loading-delivery1.com
317. Monster.fr
318. Rapidgator.net
319. Appround.us
320. Doodle.com :: VULNERABLE
321. Stackexchange.com :: VULNERABLE
322. Coqnu.com
323. Webmaster-rank.info
324. Purevid.com
325. Codecanyon.net
326. Xcams.com
327. Mediaplex.com
328. Gameblog.fr
329. Futura-sciences.com
330. 6play.fr
331. Megavod.fr
332. Amazon.co.uk
333. Ubuntu-fr.org
334. Yelp.fr :: VULNERABLE
335. Xe.com :: VULNERABLE
336. Dailymail.co.uk
337. Radins.com :: VULNERABLE
338. Franceinfo.fr
339. Bizpowa.com :: VULNERABLE
340. Skype.com
341. Kimsufi.com
342. Letudiant.fr
343. Feedly.com
344. Grooveshark.com
345. Fastdailyfind.com
346. Aweber.com
347. Speedanalysis.net
348. Hootsuite.com
349. Media.tumblr.com :: VULNERABLE
350. Youjizz.com
351. Directrev.com
352. Domaintools.com
353. Ask.fm
354. Easyjet.com
355. Abritel.fr
356. Etsy.com
357. Mmotraffic.com
358. Pixmania.com
359. France2.fr
360. Cdn4711.net :: VULNERABLE
361. Aol.com
362. Programme.tv :: VULNERABLE
363. Maxidivx.com
364. Ebay.co.uk
365. Cadremploi.fr
366. M6.fr
367. Maville.com
368. Tuxboard.com
369. Blogger.com :: VULNERABLE
370. Theguardian.com
371. Searchfun.in
372. Jeu.info
373. Demotivateur.fr
374. Startertv.fr
375. Presse-citron.net
376. Opodo.co.uk
377. Sarenza.com
378. Megacinema.fr
379. Leagueoflegends.com :: VULNERABLE
380. Planet.fr
381. Buzzfeed.com
382. Wifi.free.fr
383. Madmoizelle.com
384. Ledauphine.com
385. Easyvoyage.com
386. Hm.com
387. Wordpress-fr.net
388. Addthis.com :: VULNERABLE
389. Babylon.com
390. Effiliation.com
391. Google.es :: VULNERABLE
392. Edreams.fr
393. Openask.com :: VULNERABLE
394. Adf.ly :: VULNERABLE
395. Zdnet.fr
396. Foozine.com :: VULNERABLE
397. Delta-search.com
398. Dealabs.com
399. Konbini.com
400. About.com
401. Elle.fr :: VULNERABLE
402. Cuisineaz.com
403. Unblog.fr
404. Wetransfer.com :: VULNERABLE
405. Gizmodo.fr
406. W3.org
407. Europa.eu
408. Conforama.fr
409. Parisexe.com
410. Downparadise.ws
411. Routard.com
412. Femmesdispo.com
413. Brandalley.fr
414. Majesticseo.com
415. 22find.com
416. Soonnight.com
417. Beeg.com :: VULNERABLE
418. Oxatis.com
419. Mycanal.fr
420. Macg.co
421. Numericable.fr
422. Generation-nt.com
423. Steampowered.com
424. Frenchtorrentdb.com
425. Turbobit.net :: VULNERABLE
426. Homelidays.com
427. Dailygeekshow.com
428. Newhdplugin.net
429. Lesinrocks.com
430. Microsoftonline.com
431. Yac.mx
432. Sofoot.com
433. Jeuxonline.info
434. Ranks.fr :: VULNERABLE
435. Twenga.fr
436. Numerama.com
437. Hardsextube.com
438. Gtmetrix.com
439. Insee.fr
440. Maxifoot.fr
441. Universfreebox.com
442. Mondialrelay.fr
443. Jacquieetmicheltv2.net
444. Pubeco.fr
445. Abondance.com
446. Viedemerde.fr :: VULNERABLE
447. Sports.fr :: VULNERABLE
448. Ozap.com
449. Motherless.com :: VULNERABLE
450. Ma-reduc.com
451. Fnacspectacles.com
452. Jimdo.com
453. Cloudfront.net
454. Prizee.com
455. Caradisiac.com
456. Westernunion.fr
457. Bwin.fr
458. Education.gouv.fr
459. Pmu.fr
460. Online.net
461. Forumconstruire.com
462. 750g.com
463. Letribunaldunet.fr
464. Huffingtonpost.com
465. Publicidees.com
466. Vide-greniers.org :: VULNERABLE
467. Cnn.com
468. Airbnb.fr :: VULNERABLE
469. Joomla.fr :: VULNERABLE
470. Hsbc.fr
471. Xlovecam.com
472. Cloudify.cc
473. Z5x.net
474. Qadabra.com
475. Duckduckgo.com :: VULNERABLE

Sur les 500 plus gros sites français 97 sont aujourd'hui vulnérables à cette faille SSL.

---