Developpez.com

Le Club des Développeurs et IT Pro

Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL

Le code source de la bibliothèque de chiffrement trop désordonné pour Theo de Raadt

Le 2014-04-23 15:29:57, par Hinault Romaric, Responsable .NET
Internet fait face depuis quelques jours à l’une des pires failles de son histoire. La faille Heartbleed, au cœur de la boite à outils de chiffrement open source OpenSSL, permet d’accéder à des données sécurisées par TLS/SSL.

Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.

Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.

Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.

Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.

Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.

Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.

LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.

La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.

Le site de LibreSSL

Et vous ?

Qu’en pensez-vous ? Vers la fin d’OpenSSL ?
  Discussion forum
39 commentaires
  • nirgal76
    Membre chevronné
    Envoyé par abriotde
    C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

    Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

    Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.
    Le fork, c'est aussi sa faiblesse car ça disperse les forces et brouilles les utilisateurs les moins initiés. Trop d'environnement de bureau, trop de suite office trop de tout. "Trop, c'est comme pas assez" comme disait ma grand mère. Sans compter que pour les forks dûs à des querelles, ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée. Le gros problème du libre, c'est les libristes en fait.
    le 24/04/2014 à 0:34
  • pmithrandir
    Expert éminent
    Envoyé par Katyucha
    C'est surtout une belle connerie.... Au lieu de s'allier pour éprouver et permettre à OpenSSL de sortir renforcé de cette expérience, on crée un LibreSSL qui d'après les premières lectures faites, a été épuré de plein de fonctions. Ce n'est pas une solution. Alors certes LibreSSL sera peut être plus sur mais il n'est plus iso fonctionnel. Quel est le gain ? 0
    Je ne suis pas d'accord.
    Il faut évaluer les fonctions supprimées pour savoir si elles sont utiles ou pas.
    Iso-fonctionnel c'est mignon, mais trainer des vieux machins, c'est un cout de dev non négligeable.

    La simplification a du bon en général.
    le 28/04/2014 à 9:46
  • azias
    Membre éclairé
    Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH basées sur LibreSSL pour faire tourner LibreOffice en toute sécurité...

    Je me pose la même question que celle posée dans l'article: pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer? Est-ce qu'il a fait des propositions qui lui ont été refusées ou est-ce simplement qu'il pense que sa façon de faire est meilleure simplement parce qu'elle vient de lui? Parfois les forks permettent aussi tout simplement de casser la compatibilité avec les anciennes versions.

    Pour ne prendre que l'exemple OpenOffice/LibreOffice dont le fork a été fait pour des raisons plus "politiques" que techniques: le grand gagnant de l'opération a incontestablement été Microsoft Office.
    le 24/04/2014 à 9:35
  • Paul TOTH
    Expert éminent sénior
    c'est là qu'on voit que même une solution libre, quand elle occupe une position dominante, représente un danger. Il me semble qu'un faille avait été aussi trouvé dans libupnp qui se retrouve sur un tas d'équipements UPnP.

    moi je suis pour la diversité.
    le 24/04/2014 à 6:44
  • Zefling
    Expert confirmé
    Envoyé par Shuty
    J'adore, c'est tellement vrai !
    En même temps, le fork dans du proprio c'est vachement moins évident, sauf à avoir de problèmes.
    le 23/04/2014 à 16:35
  • Squisqui
    En attente de confirmation mail
    On est assez loin d'un fork dû à une communauté divisée parce que l'un pife pas l'autre (ffmpeg/libav) ou Google qui s'approprie une techno' (webkit).
    De la part de Theo de Raadt, il faut s'attendre à un fork de compét'. La philosophie de l'OpenBSD Foundation est la sécurité à travers des audits, mais aussi une volonté très forte de maintenir un code le plus claire possible.
    Les projets OpenSSL/LibreSSL ont beaucoup à gagner à travers cette initiative.
    le 23/04/2014 à 18:43
  • goomazio
    Membre chevronné
    Envoyé par nirgal76
    ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée
    Mais peut-être que ça vient du côté publique du processus de développement du libre. Ça doit se quereller aussi dans le privé.
    le 24/04/2014 à 2:15
  • GPPro
    Membre éprouvé
    Envoyé par Shuty
    J'adore, c'est tellement vrai !

    Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.
    J'aurais plutôt mis en avant la partie "sonner le glas de la fin" qui ne veut pas dire ce que le newser voudrait lui faire dire
    le 24/04/2014 à 9:13
  • gangsoleil
    Modérateur
    Envoyé par olreak
    Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH
    Oups, openSSH fait partie du projet openBSD...

    Envoyé par olreak
    pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer?
    Probablement pour que les release de libreSSL soient calquees sur le modele de celles d'openBSD, c'est a dire que le code est figé bien avant la sortie, pour justement faire des tests et des corrections.
    Cela va souvent a l'encontre des autres distributions qui ne figent pas le code, mais se contentent de prendre une version "stable" tout en continuant les dev.

    Bref, regarde un peu la philosophie d'openBSD et de Theo de Raadt, les critiques positives et negatives qui sont faites a leur encontre, et tu trouveras pourquoi.
    le 24/04/2014 à 10:22
  • gagouze2
    Membre du Club
    Super Google va faire le jeu de la NSA que l'on vas se retrouver avec une back door pour la NSA

    <HS>
    Qu'en est que Obama virent les huiles de la CIA NSA et le mettent en Prision vue le nombre de délit commis c'est la perpétuité directe
    </HS>
    le 23/06/2014 à 16:11
  Poster une réponse