Les développeurs sous OpenBSD, Linux, OS X et Solaris peuvent désormais utiliser la librairie LibreSSL pour remplacer OpenSSL et sécuriser les communications avec une librairie revue et corrigée.

Lorsque la faille Heartbleed a été découverte dans le code source très chargé et très brouillon de OpenSSL, la fondation OpenBSD qui finance le système d'exploitation open-source du même nom a décidé de réécrire une toute nouvelle version épurée de la librairie de sécurisation des communications, baptisée LibreSSL.

Le but premier était de nettoyer le code de toutes les lignes qui avaient été rajoutées au fil du temps pour supporter des systèmes désormais obsolètes comme OS/2, Windows 16 bits, NetWare, DOS ou VMS. Puis de réécrire tout ce qui avait été mal pensé avec OpenSSL, et qui a abouti à ce qu'une faille très grave dans la gestion de la mémoire permette d'accéder très discrètement à des données qui auraient dû ne jamais être lisibles en clair.

Dans un premier temps, la fondation s'était donc attachée à créer une librairie LibreSSL compatible uniquement avec Open BSD. Mais comme le signale The Register, la fondation a sorti la première version portable de LibreSSL 2.0, qui peut désormais être utilisée sous Linux, Solaris et Mac OS X. Pas encore sous Windows.

Si l'intérieur du décor vous intéresse, le développeur Bob Beck a mis en ligne une présentation très détaillée (et très old-school) des raisons qui ont poussé la fondation OpenBSD à créer OpenSSL, et des améliorations qui ont été apportées au code d'origine.

Partager sur les réseaux sociaux

Articles liés