La Fondation OpenBSD ne veut plus utiliser la bibliothèque OpenSSL qui contenait le bug Heartbleed, et propose une alternative avec LibreSSL.

La révélation de la faille Heartbleed dans la bibliothèque OpenSSL n'a pas seulement mis à jour le fait que des communications sécurisées ne l'étaient pas tout à fait, puisqu'il était possible d'obtenir discrètement des extraits de la mémoire des serveurs. Elle a aussi montré l'imprudence folle de géants de l'informatique et des développeurs de logiciels libres, qui ont collectivement négligé de réaliser un audit sérieux du code source d'un élément fondamental de la sécurisation des données.

Il a ainsi fallu attendre deux ans avant qu'enfin une entreprise (en l'espèce Google) découvre le bug au hasard d'une contribution. Deux années pendant lesquelles la communauté open-source tout entière a fait confiance, pour engager la confidentialité de millions de personnes, à deux individus seulement sur Terre : l'auteur du bug et l'examinateur qui a accepté de valider la modification dans la version officielle d'OpenSSL.

Et pourtant, l'open-source a aussi été une chance pour Heartbleed. Dès sa découverte, permise par la publicité du code source, le bug a pu être corrigé, et les mises à jour déployées. Le fait que le code source soit librement accessible et modifiable permet aussi à des alternatives de voir le jour beaucoup plus facilement.

Incompatible avec Windows

Ainsi, la Fondation OpenBSD qui finance le système d'exploitation OpenBSD a décidé de créer un "fork" à OpenSSL, c'est-à-dire une version dérivée de la bibliothèque d'origine. La découverte du bug Heartbleed a été la goutte d'eau dans un vase déjà rempli par la qualité très critiquée d'OpenSSL.

Ils ont ainsi annoncé la création de LibreSSL, une version épurée d'OpenSSL. "Ils ont commité comme des petits fous (on parle de 250 commits à 8), et sont arrivés à un résultat assez intéressant : en virant tout les machins spécifiques à VMS et Windows, ils ont viré la moitié du bloat qu'il y avait, et toutes les applis dans l'arbre OpenBSD continuent de compiler. Pas mal", s'enthousiasme LinuxFR.

Cependant en supprimant la compatibilité avec Windows, OpenBSD fait de sa librairie un outil à la portée limitée. OpenSSL n'est pas seulement utilisé sur des serveurs, mais aussi dans des logiciels susceptibles de tourner sous Windows, qui veulent sécuriser des données avec les protocoles SSL/TLS.

Tous les progrès dans la conception de LibreSSL sont documentés sur un Tumblr dédié.

(illustration : Aurore D)

Partager sur les réseaux sociaux

Articles liés