Google vient de mettre en ligne un outil open source, baptisé Nogotofail, qui permet de détecter les failles connues dans HTTPS, lorsque par exemple l'implémentation du protocole de sécurisation SSL / TLS n'est pas au niveau.

Depuis le début de l'année, plusieurs failles de sécurité ont été repérées dans certaines implémentations du protocole de sécurisation SSL (Secure Sockets Layer) / TLS (Transport Layer Security), qui sert à protéger les communications sur Internet en chiffrant les données échangées et dont l'utilisation se remarque par la présence d'un cadenas (HTTPS) dans la barre de recherche du navigateur.

Jugées très critiques, ces vulnérabilités ont été largement évoquées dans la presse, à l'image de Goto Fail, Heartbleed ou encore Poodle. D'autres ont connu une exposition médiatique moindre, alors que leur gravité était tout aussi élevée. C'est le cas par exemple de celle découverte dans la librairie GnuTLS sous Linux ou de cette série de sept brèches au sein d'OpenSSL.

Ces multiples fissures liées au protocole SSL / TLS font évidemment l'objet de correctifs lorsqu'elles sont détectées, mais encore faut-il que l'implémentation soit ajustée par les responsables et que les patchs soient effectivement déployés. Aussi Google a-t-il décidé de publier un outil open source baptisé Nogotofail (un nom choisi en référence à Goto Fail) afin de vérifier la sécurité des échanges sur le réseau.

Nogotofail

"Google est déterminé à accroître l'utilisation de TLS / SSL dans toutes les applications et dans tous les services. Mais 'HTTPS Everywhere' ne suffit pas. Il doit aussi être utilisé correctement. La plupart des plateformes et des appareils ont des défauts de sécurisation, mais certaines applications et bibliothèques contournent ces défauts pour pire encore", explique la firme de Mountain View.

"À mesure que les applications se complexifient, se connectent à davantage de services et utilisent de plus en plus de bibliothèques tierces, il devient plus facile d'introduire ce genre d'erreur", poursuit le groupe, qui veut permettre aux usagers "de confirmer simplement si les appareils ou les applications que vous utilisez n'incluent pas des failles TLS / SSL connues ou si le protocole est mal configuré".

Dans son article, Google explique qu'il utilise l'outil Nogotofail depuis quelques temps déjà mais qu'il souhaite désormais le partager pour que la sécurité sur Internet  s'améliore. L'outil fonctionne avec les principaux systèmes d'exploitation (Windows Mac OS X, Linux, Android, iOS, Chrome OS) et, du fait de son caractère open source, est ouvert aux contributions extérieures.

( photo : CC 0 BurningWell )

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.