Google vient de mettre en ligne un outil open source, baptisé Nogotofail, qui permet de détecter les failles connues dans HTTPS, lorsque par exemple l'implémentation du protocole de sécurisation SSL / TLS n'est pas au niveau.

Depuis le début de l'année, plusieurs failles de sécurité ont été repérées dans certaines implémentations du protocole de sécurisation SSL (Secure Sockets Layer) / TLS (Transport Layer Security), qui sert à protéger les communications sur Internet en chiffrant les données échangées et dont l'utilisation se remarque par la présence d'un cadenas (HTTPS) dans la barre de recherche du navigateur.

Jugées très critiques, ces vulnérabilités ont été largement évoquées dans la presse, à l'image de Goto Fail, Heartbleed ou encore Poodle. D'autres ont connu une exposition médiatique moindre, alors que leur gravité était tout aussi élevée. C'est le cas par exemple de celle découverte dans la librairie GnuTLS sous Linux ou de cette série de sept brèches au sein d'OpenSSL.

Ces multiples fissures liées au protocole SSL / TLS font évidemment l'objet de correctifs lorsqu'elles sont détectées, mais encore faut-il que l'implémentation soit ajustée par les responsables et que les patchs soient effectivement déployés. Aussi Google a-t-il décidé de publier un outil open source baptisé Nogotofail (un nom choisi en référence à Goto Fail) afin de vérifier la sécurité des échanges sur le réseau.

Nogotofail

"Google est déterminé à accroître l'utilisation de TLS / SSL dans toutes les applications et dans tous les services. Mais 'HTTPS Everywhere' ne suffit pas. Il doit aussi être utilisé correctement. La plupart des plateformes et des appareils ont des défauts de sécurisation, mais certaines applications et bibliothèques contournent ces défauts pour pire encore", explique la firme de Mountain View.

"À mesure que les applications se complexifient, se connectent à davantage de services et utilisent de plus en plus de bibliothèques tierces, il devient plus facile d'introduire ce genre d'erreur", poursuit le groupe, qui veut permettre aux usagers "de confirmer simplement si les appareils ou les applications que vous utilisez n'incluent pas des failles TLS / SSL connues ou si le protocole est mal configuré".

Dans son article, Google explique qu'il utilise l'outil Nogotofail depuis quelques temps déjà mais qu'il souhaite désormais le partager pour que la sécurité sur Internet  s'améliore. L'outil fonctionne avec les principaux systèmes d'exploitation (Windows Mac OS X, Linux, Android, iOS, Chrome OS) et, du fait de son caractère open source, est ouvert aux contributions extérieures.

( photo : CC 0 BurningWell )

Partager sur les réseaux sociaux

Articles liés