La révélation de la faille Heartbleed dans la bibliothèque OpenSSL n'a pas seulement mis à jour le fait que des communications sécurisées ne l'étaient pas tout à fait, puisqu'il était possible d'obtenir discrètement des extraits de la mémoire des serveurs. Elle a aussi montré l'imprudence folle de géants de l'informatique et des développeurs de logiciels libres, qui ont collectivement négligé de réaliser un audit sérieux du code source d'un élément fondamental de la sécurisation des données.
Il a ainsi fallu attendre deux ans avant qu'enfin une entreprise (en l'espèce Google) découvre le bug au hasard d'une contribution. Deux années pendant lesquelles la communauté open-source tout entière a fait confiance, pour engager la confidentialité de millions de personnes, à deux individus seulement sur Terre : l'auteur du bug et l'examinateur qui a accepté de valider la modification dans la version officielle d'OpenSSL.
Et pourtant, l'open-source a aussi été une chance pour Heartbleed. Dès sa découverte, permise par la publicité du code source, le bug a pu être corrigé, et les mises à jour déployées. Le fait que le code source soit librement accessible et modifiable permet aussi à des alternatives de voir le jour beaucoup plus facilement.
Incompatible avec Windows
Ainsi, la Fondation OpenBSD qui finance le système d'exploitation OpenBSD a décidé de créer un "fork" à OpenSSL, c'est-à-dire une version dérivée de la bibliothèque d'origine. La découverte du bug Heartbleed a été la goutte d'eau dans un vase déjà rempli par la qualité très critiquée d'OpenSSL.
Ils ont ainsi annoncé la création de LibreSSL, une version épurée d'OpenSSL. "Ils ont commité comme des petits fous (on parle de 250 commits à 8), et sont arrivés à un résultat assez intéressant: en virant tout les machins spécifiques à VMS et Windows, ils ont viré la moitié du bloat qu'il y avait, et toutes les applis dans l'arbre OpenBSD continuent de compiler. Pas mal", s'enthousiasme LinuxFR.
Cependant en supprimant la compatibilité avec Windows, OpenBSD fait de sa librairie un outil à la portée limitée. OpenSSL n'est pas seulement utilisé sur des serveurs, mais aussi dans des logiciels susceptibles de tourner sous Windows, qui veulent sécuriser des données avec les protocoles SSL/TLS.
Tous les progrès dans la conception de LibreSSL sont documentés sur un Tumblr dédié.
(illustration : Aurore D)
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.