La librairie GnuTLS, utilisée par de nombreux logiciels et serveurs sous Linux, avait une erreur de code proche de celle découverte récemment par Apple sur sa propre librairie de chiffrement des communications.

Même s'il y contribue fortement, l'open-source n'est pas une garantie absolue de fiabilité et de sécurité. Quelques jours après la révélation d'un bug dans la librairie SecureTransport d'Apple, qui exposait les utilisateurs d'iOS et Mac OS à des attaques visant à obtenir leurs communications en clair, voilà que Linux lui-même est victime d'un bug aux conséquences similaires.

Comme le détaille Ars Technica, un bug présent depuis de nombreuses années dans la librairie open-source GnuTLS permet aux hackers qui l'exploitent de contourner facilement les protections SSL (Secure Sockets Layer) et TLS (Transport Layer Security) mises en place par les sites et applications dont les serveurs utilisent cette librairie. Elle est intégrée dans la plupart des distributions Linux, dont Red Hat, Ubuntu et Debian, et elle est surtout utilisée par de nombreux logiciels qui dépendent de GnuTLS.

C'est une erreur d'écriture du code, présente depuis novembre 2003 et découverte onze ans plus tard à l'occasion d'un audit pour Red Hat, qui provoquait l'arrêt de vérifications de l'authenticité de certificats TLS. Une erreur aux conséquences étrangement similaires à celle du "GotoFail" d'Apple, au point qu'elle ravive chez certains des soupçons.

Beaucoup commencent en effet à s'imaginer, avec paranoïa ou en tirant les enseignements de l'affaire Snowden, que la NSA est directement ou indirectement liée à ces "erreurs" dont ceux qui les connaissent peuvent tirer profit. Cependant il semble que le bug a été introduit il y a 11 ans par Nikos Mavragionnopoulos, dont la biographie ne laisse rien transparaître de suspect. Diplômé de l'Université catholique néerlandophone de Louvain, en Belgique, l'homme est l'un des principaux développeurs de GnuTLS et travaille actuellement pour Red Hat. Il a peut-être, et même probablement, commis une erreur de code comme en font tous les développeurs. Et l'open-source qui permet pourtant de vérifier et améliorer le code de chancun n'a pas aidé à corriger l'erreur.

Les développeurs de GnuTLS ont bien sûr immédiatement publié un correctif en demandant à tous les utilisateurs de mettre à jour vers GnuTLS 3.2.12.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.