Après la faille Heartbleed, sept nouvelles vulnérabilités ont été détectées et corrigées par OpenSSL. L'une d'elles aurait perduré dans le code source pendant seize ans.

Voilà une affaire qui pourrait raviver le souvenir de faille Heartbleed, qui a été découverte ce printemps dans la bibliothèque logicielle de cryptographie OpenSSL et qui a obligé de nombreuses entreprises à organiser très rapidement la mise à jour de leurs services et de leurs produits pour éviter toute soustraction de données. Même la CNIL a dû s'y mettre, face à la dangerosité de la vulnérabilité.

Dans une note publiée mercredi, OpenSSL explique que sept brèches ont été détectées dont l'une pourrait conduire à une attaque de l'homme du milieu (MITM) dans SSL / TLS, deux autres fragilisent le protocole Datagram Transport Layer Security (DTLS). Trois autres permettraient des attaques par déni de service (DOS). Toutes ont été corrigées.

Selon le développeur Adam Langley, qui s'était déjà exprimé sur la brèche Goto fail au sein d'iOS et de Mac OS, la faille permettant une attaque de type homme du milieu a perduré pas moins de seize ans dans le code source. Celui qui a découvert son existence, Masashi Kikuchi, considère que sa "survie" s'explique par l'insuffisance des contrôles, du fait du manque d'experts ayant une expertise dans la TLS / SSL.

Cela étant, le cryptographe Matthew Green estime que la découverte de toutes ces vulnérabilités est, au final, une bonne chose. "Par ailleurs, la prolifération soudaine de bugs OpenSSL est à considérer comme une bonne chose. C'est comme trouver des chaussettes sales pendant le nettoyage de printemps". Dit autrement, la vérification du code semble enfin donner des résultats pratiques.

Depuis la découverte de la faille Heartbleed dans OpenSSL, les géants de l'industrie high tech et du web ont annoncé qu'ils allaient soutenir et financer le développement de la bibliothèque logicielle de cryptographie (et d'autres projets), ce qui est tout de même la moindre des choses pour des groupes qui bénéficient nettement des atouts de cet outil.

( Illustration : Mark Cox )


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.