La librairie GnuTLS, utilisée par de nombreux logiciels et serveurs sous Linux, avait une erreur de code proche de celle découverte récemment par Apple sur sa propre librairie de chiffrement des communications.

Même s'il y contribue fortement, l'open-source n'est pas une garantie absolue de fiabilité et de sécurité. Quelques jours après la révélation d'un bug dans la librairie SecureTransport d'Apple, qui exposait les utilisateurs d'iOS et Mac OS à des attaques visant à obtenir leurs communications en clair, voilà que Linux lui-même est victime d'un bug aux conséquences similaires.

Comme le détaille Ars Technica, un bug présent depuis de nombreuses années dans la librairie open-source GnuTLS permet aux hackers qui l'exploitent de contourner facilement les protections SSL (Secure Sockets Layer) et TLS (Transport Layer Security) mises en place par les sites et applications dont les serveurs utilisent cette librairie. Elle est intégrée dans la plupart des distributions Linux, dont Red Hat, Ubuntu et Debian, et elle est surtout utilisée par de nombreux logiciels qui dépendent de GnuTLS.

C'est une erreur d'écriture du code, présente depuis novembre 2003 et découverte onze ans plus tard à l'occasion d'un audit pour Red Hat, qui provoquait l'arrêt de vérifications de l'authenticité de certificats TLS. Une erreur aux conséquences étrangement similaires à celle du "GotoFail" d'Apple, au point qu'elle ravive chez certains des soupçons.

Beaucoup commencent en effet à s'imaginer, avec paranoïa ou en tirant les enseignements de l'affaire Snowden, que la NSA est directement ou indirectement liée à ces "erreurs" dont ceux qui les connaissent peuvent tirer profit. Cependant il semble que le bug a été introduit il y a 11 ans par Nikos Mavragionnopoulos, dont la biographie ne laisse rien transparaître de suspect. Diplômé de l'Université catholique néerlandophone de Louvain, en Belgique, l'homme est l'un des principaux développeurs de GnuTLS et travaille actuellement pour Red Hat. Il a peut-être, et même probablement, commis une erreur de code comme en font tous les développeurs. Et l'open-source qui permet pourtant de vérifier et améliorer le code de chancun n'a pas aidé à corriger l'erreur.

Les développeurs de GnuTLS ont bien sûr immédiatement publié un correctif en demandant à tous les utilisateurs de mettre à jour vers GnuTLS 3.2.12.

Partager sur les réseaux sociaux

Articles liés