Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser la page de contact pour nous contacter ou nous faire part de vos suggestions. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

OpenSSL : un audit démarre pour éviter une autre faille Heartbleed

L'affaire Heartbleed continue d'avoir des conséquences, mais cette fois elles sont positives. En effet, un audit mené par la société NCC Group va avoir lieu sur certains aspects de la bibliothèque de chiffrement OpenSSL. Les premiers résultats devraient être communiqués cet été.

C'est une démarche forcément bienvenue, au regard du rôle essentiel que joue OpenSSL dans la protection des informations échangées sur le net. La société NCC Group, qui conduit déjà l'audit de la version 7.1a de TrueCrypt, va mener en parallèle un travail similaire avec la célèbre bibliothèque de chiffrement, qui est utilisée par un nombre considérables de services en ligne.

Cette initiative fait suite à l'affaire Heartbleed, qui a eu l'an dernier une très forte attention médiatique. En effet, une faille d'une rare gravité a été découverte dans OpenSSL. Celle-ci permettait de lire la mémoire des systèmes utilisant une version vulnérable de la bibliothèque, afin de récupérer des données y figurant, le tout sans laisser la moindre trace.

Présente dans le code source depuis plus de deux ans, la brèche a entraîné une cascade de réactions. Une solution alternative à OpenSSL a été proposée (LibreSSL), la CNIL a annoncé le contrôle des sites afin de vérifier si les correctifs ont été appliqués et une prise de conscience a eu lieu chez les géants du net, qui jusqu'à présent ne finançaient pas les outils de sécurisation qu'ils utilisent pourtant abondamment.

Naturellement, depuis les révélations de Snowden, la presse s'est aussi demandée si la NSA avait eu vent de cette vulnérabilité et si la Maison-Blanche était au courant.

Quoiqu'il en soit, l'audit visant OpenSSL devra chercher des faiblesses pour empêcher au maximum une affaire Heartbleed bis. Ce n'est pas tant le code source qui sera ausculté en profondeur, mais plutôt certains processus (transitions d'état, gestion de la mémoire). En tout cas, la part de travail que prend NCC Group sera utile pour améliorer globalement OpenSSL.

Les premiers résultats de l'audit devraient être connus au début de l'été.