Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL
Le code source de la bibliothèque de chiffrement trop désordonné pour Theo de Raadt

Le , par Hinault Romaric, Responsable .NET
Internet fait face depuis quelques jours à l’une des pires failles de son histoire. La faille Heartbleed, au cœur de la boite à outils de chiffrement open source OpenSSL, permet d’accéder à des données sécurisées par TLS/SSL.

Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.

Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.

Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.

Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.

Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.

Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.

LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.

La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.

Le site de LibreSSL

Et vous ?

Qu’en pensez-vous ? Vers la fin d’OpenSSL ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Shuty Shuty - Membre éprouvé http://www.developpez.com
le 23/04/2014 à 16:05
Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork.

J'adore, c'est tellement vrai !

Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.
Avatar de Zefling Zefling - Membre émérite http://www.developpez.com
le 23/04/2014 à 16:35
Citation Envoyé par Shuty  Voir le message
J'adore, c'est tellement vrai !

En même temps, le fork dans du proprio c'est vachement moins évident, sauf à avoir de problèmes.
Avatar de Qu3tzalify Qu3tzalify - Membre régulier http://www.developpez.com
le 23/04/2014 à 17:28
Pendant un moment j'ai cru que le site était une blague, puis j'ai lu la dernière ligne : "This page scientifically designed to annoy web hipsters. Donate now to stop the Comic Sans and Blink Tags".
Rassuré.
Avatar de abriotde abriotde - Membre éclairé http://www.developpez.com
le 23/04/2014 à 18:12
sports favoris des acteurs de l’open source : le fork.

C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.
Avatar de Squisqui Squisqui - Membre expérimenté http://www.developpez.com
le 23/04/2014 à 18:43
On est assez loin d'un fork dû à une communauté divisée parce que l'un pife pas l'autre (ffmpeg/libav) ou Google qui s'approprie une techno' (webkit).
De la part de Theo de Raadt, il faut s'attendre à un fork de compét'. La philosophie de l'OpenBSD Foundation est la sécurité à travers des audits, mais aussi une volonté très forte de maintenir un code le plus claire possible.
Les projets OpenSSL/LibreSSL ont beaucoup à gagner à travers cette initiative.
Avatar de nirgal76 nirgal76 - Membre expérimenté http://www.developpez.com
le 24/04/2014 à 0:34
Citation Envoyé par abriotde  Voir le message
C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.

Le fork, c'est aussi sa faiblesse car ça disperse les forces et brouilles les utilisateurs les moins initiés. Trop d'environnement de bureau, trop de suite office trop de tout. "Trop, c'est comme pas assez" comme disait ma grand mère. Sans compter que pour les forks dûs à des querelles, ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée. Le gros problème du libre, c'est les libristes en fait.
Avatar de goomazio goomazio - Membre chevronné http://www.developpez.com
le 24/04/2014 à 2:15
Citation Envoyé par nirgal76  Voir le message
ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée

Mais peut-être que ça vient du côté publique du processus de développement du libre. Ça doit se quereller aussi dans le privé.
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior http://www.developpez.com
le 24/04/2014 à 6:44
c'est là qu'on voit que même une solution libre, quand elle occupe une position dominante, représente un danger. Il me semble qu'un faille avait été aussi trouvé dans libupnp qui se retrouve sur un tas d'équipements UPnP.

moi je suis pour la diversité.
Avatar de GPPro GPPro - Membre éprouvé http://www.developpez.com
le 24/04/2014 à 9:13
Citation Envoyé par Shuty  Voir le message
J'adore, c'est tellement vrai !

Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.

J'aurais plutôt mis en avant la partie "sonner le glas de la fin" qui ne veut pas dire ce que le newser voudrait lui faire dire
Avatar de Delbor Delbor - Membre du Club http://www.developpez.com
le 24/04/2014 à 9:28
En tout cas les commentaires des gars d'OpenBSD sur le code d'OpenSSL qu'ils sont entrain de réécrire ne sont pas toujours tendres. Caustiques, disons.

Je trouve ça un peu limite.

Concernant "pour ou contre le fork", je trouve que c'est une question idéologique: centraliser ou décentraliser, leadership fort ou anarchie, efficacité ou passion, etc... Tout dépend du monde dans lequel on veut vivre.
Offres d'emploi IT
Consultant confirmé SAP BI BW/IP (h/f)
Atos Intégration - Ile de France - Bezons
Ingénieur d’étude java/jee h/f
UTIGroup. - Rhône Alpes - Lyon (69000)
H/F Assistant développeur BI
1000MERCIS - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil