Voilà une affaire qui pourrait raviver le souvenir de faille Heartbleed, qui a été découverte ce printemps dans la bibliothèque logicielle de cryptographie OpenSSL et qui a obligé de nombreuses entreprises à organiser très rapidement la mise à jour de leurs services et de leurs produits pour éviter toute soustraction de données. Même la CNIL a dû s'y mettre, face à la dangerosité de la vulnérabilité.
Dans une note publiée mercredi, OpenSSL explique que sept brèches ont été détectées dont l'une pourrait conduire à une attaque de l'homme du milieu (MITM) dans SSL / TLS, deux autres fragilisent le protocole Datagram Transport Layer Security (DTLS). Trois autres permettraient des attaques par déni de service (DOS). Toutes ont été corrigées.
Selon le développeur Adam Langley, qui s'était déjà exprimé sur la brèche Goto fail au sein d'iOS et de Mac OS, la faille permettant une attaque de type homme du milieu a perduré pas moins de seize ans dans le code source. Celui qui a découvert son existence, Masashi Kikuchi, considère que sa "survie" s'explique par l'insuffisance des contrôles, du fait du manque d'experts ayant une expertise dans la TLS / SSL.
By the way, the sudden proliferation of OpenSSL bugs is to be expected and a good thing. Like finding dirty socks during spring cleaning.
— Matthew Green (@matthew_d_green) 5 Juin 2014
Cela étant, le cryptographe Matthew Green estime que la découverte de toutes ces vulnérabilités est, au final, une bonne chose. "Par ailleurs, la prolifération soudaine de bugs OpenSSL est à considérer comme une bonne chose. C'est comme trouver des chaussettes sales pendant le nettoyage de printemps". Dit autrement, la vérification du code semble enfin donner des résultats pratiques.
Depuis la découverte de la faille Heartbleed dans OpenSSL, les géants de l'industrie high tech et du web ont annoncé qu'ils allaient soutenir et financer le développement de la bibliothèque logicielle de cryptographie (et d'autres projets), ce qui est tout de même la moindre des choses pour des groupes qui bénéficient nettement des atouts de cet outil.
( Illustration : Mark Cox )
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !