C'est une démarche forcément bienvenue, au regard du rôle essentiel que joue OpenSSL dans la protection des informations échangées sur le net. La société NCC Group, qui conduit déjà l'audit de la version 7.1a de TrueCrypt, va mener en parallèle un travail similaire avec la célèbre bibliothèque de chiffrement, qui est utilisée par un nombre considérables de services en ligne.
Cette initiative fait suite à l'affaire Heartbleed, qui a eu l'an dernier une très forte attention médiatique. En effet, une faille d'une rare gravité a été découverte dans OpenSSL. Celle-ci permettait de lire la mémoire des systèmes utilisant une version vulnérable de la bibliothèque, afin de récupérer des données y figurant, le tout sans laisser la moindre trace.
Présente dans le code source depuis plus de deux ans, la brèche a entraîné une cascade de réactions. Une solution alternative à OpenSSL a été proposée (LibreSSL), la CNIL a annoncé le contrôle des sites afin de vérifier si les correctifs ont été appliqués et une prise de conscience a eu lieu chez les géants du net, qui jusqu'à présent ne finançaient pas les outils de sécurisation qu'ils utilisent pourtant abondamment.
Naturellement, depuis les révélations de Snowden, la presse s'est aussi demandée si la NSA avait eu vent de cette vulnérabilité et si la Maison-Blanche était au courant.
Quoiqu'il en soit, l'audit visant OpenSSL devra chercher des faiblesses pour empêcher au maximum une affaire Heartbleed bis. Ce n'est pas tant le code source qui sera ausculté en profondeur, mais plutôt certains processus (transitions d'état, gestion de la mémoire). En tout cas, la part de travail que prend NCC Group sera utile pour améliorer globalement OpenSSL.
Les premiers résultats de l'audit devraient être connus au début de l'été.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.