NCC Group, une société de consulting basée à Manchester, va mener un audit sur la bibliothèque de chiffrement OpenSSL utilisée aujourd’hui par plus de 14 millions de sites web à travers le monde. Cet audit a pour but de détecter les failles de sécurité et diminuer les risques dans le futur. En effet, durant l’année 2014, une importante vulnérabilité, nommée HeartBleed (cœur qui saigne), avait été découverte dans cette bibliothèque. Elle permettrait à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur et récupérer les clefs. L’existence depuis plusieurs années d’une telle vulnérabilité avait suscité l’inquiétude des internautes sous influence des médias et interpellé les géants de l’informatique qui avaient formé une nouvelle alliance (CII : The Core Infrastructure Initiative) hébergée par la Linux Foundation pour financer les projets critiques et répondre aux besoins urgents de la sécurité informatique.
Cet audit -sponsorisé par la CII et organisé par l’Open Crypto Audit Project- va se concentrer principalement sur la vérification des protocoles, les couches TLS, les algorithmes de chiffrement, les états de transitions et la gestion de la mémoire. « Bien que la vérification ne va pas couvrir tous les recoins du code de base, nous croyons que ce sera un élément utile parmi les larges efforts entrepris pour améliorer l'ingénierie et de la sécurité d’OpenSSL », peut-on lire dans un billet de blog sur la page GitHub de Cryptography Services qui est une équipe de consultants de iSEC Partners, Matasano, Intrepidus Group et NCC Group.
Cryptography Services avait déjà commencé en février dernier un autre audit de sécurité sur le logiciel de chiffrement TrueCrypt. Les deux études vont se faire en parallèle et les résultats préliminaires concernant OpenSSL devraient commencer à apparaître dès le début de l’été 2015.
Source : Crypto Services
Et vous ?
Qu’en pensez-vous?