Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL
Le code source de la bibliothèque de chiffrement trop désordonné pour Theo de Raadt
Le 2014-04-23 15:29:57, par Hinault Romaric, Responsable .NET
Internet fait face depuis quelques jours à l’une des pires failles de son histoire. La faille Heartbleed, au cœur de la boite à outils de chiffrement open source OpenSSL, permet d’accéder à des données sécurisées par TLS/SSL.
Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.
Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.
Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.
Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.
Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.
Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.
LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.
La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.
Le site de LibreSSL
Et vous ?
Qu’en pensez-vous ? Vers la fin d’OpenSSL ?
Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.
Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.
Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.
Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.
Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.
Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.
LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.
La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.
Et vous ?
-
nirgal76Membre chevronnéLe fork, c'est aussi sa faiblesse car ça disperse les forces et brouilles les utilisateurs les moins initiés. Trop d'environnement de bureau, trop de suite office trop de tout. "Trop, c'est comme pas assez" comme disait ma grand mère. Sans compter que pour les forks dûs à des querelles, ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée. Le gros problème du libre, c'est les libristes en fait.le 24/04/2014 à 0:34
-
pmithrandirExpert éminentJe ne suis pas d'accord.
Il faut évaluer les fonctions supprimées pour savoir si elles sont utiles ou pas.
Iso-fonctionnel c'est mignon, mais trainer des vieux machins, c'est un cout de dev non négligeable.
La simplification a du bon en général.le 28/04/2014 à 9:46 -
aziasMembre éclairéPour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH basées sur LibreSSL pour faire tourner LibreOffice en toute sécurité...
Je me pose la même question que celle posée dans l'article: pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer? Est-ce qu'il a fait des propositions qui lui ont été refusées ou est-ce simplement qu'il pense que sa façon de faire est meilleure simplement parce qu'elle vient de lui? Parfois les forks permettent aussi tout simplement de casser la compatibilité avec les anciennes versions.
Pour ne prendre que l'exemple OpenOffice/LibreOffice dont le fork a été fait pour des raisons plus "politiques" que techniques: le grand gagnant de l'opération a incontestablement été Microsoft Office.le 24/04/2014 à 9:35 -
Paul TOTHExpert éminent séniorc'est là qu'on voit que même une solution libre, quand elle occupe une position dominante, représente un danger. Il me semble qu'un faille avait été aussi trouvé dans libupnp qui se retrouve sur un tas d'équipements UPnP.
moi je suis pour la diversité.le 24/04/2014 à 6:44 -
ZeflingExpert confirméEn même temps, le fork dans du proprio c'est vachement moins évident, sauf à avoir de problèmes.le 23/04/2014 à 16:35
-
SquisquiEn attente de confirmation mailOn est assez loin d'un fork dû à une communauté divisée parce que l'un pife pas l'autre (ffmpeg/libav) ou Google qui s'approprie une techno' (webkit).
De la part de Theo de Raadt, il faut s'attendre à un fork de compét'. La philosophie de l'OpenBSD Foundation est la sécurité à travers des audits, mais aussi une volonté très forte de maintenir un code le plus claire possible.
Les projets OpenSSL/LibreSSL ont beaucoup à gagner à travers cette initiative.le 23/04/2014 à 18:43 -
goomazioMembre chevronnéMais peut-être que ça vient du côté publique du processus de développement du libre. Ça doit se quereller aussi dans le privé.le 24/04/2014 à 2:15
-
GPProMembre éprouvéJ'aurais plutôt mis en avant la partie "sonner le glas de la fin" qui ne veut pas dire ce que le newser voudrait lui faire direle 24/04/2014 à 9:13
-
gangsoleilModérateurOups, openSSH fait partie du projet openBSD...
Probablement pour que les release de libreSSL soient calquees sur le modele de celles d'openBSD, c'est a dire que le code est figé bien avant la sortie, pour justement faire des tests et des corrections.
Cela va souvent a l'encontre des autres distributions qui ne figent pas le code, mais se contentent de prendre une version "stable" tout en continuant les dev.
Bref, regarde un peu la philosophie d'openBSD et de Theo de Raadt, les critiques positives et negatives qui sont faites a leur encontre, et tu trouveras pourquoi.le 24/04/2014 à 10:22 -
gagouze2Membre du ClubSuper Google va faire le jeu de la NSA que l'on vas se retrouver avec une back door pour la NSA
<HS>
Qu'en est que Obama virent les huiles de la CIA NSA et le mettent en Prision vue le nombre de délit commis c'est la perpétuité directe
</HS>le 23/06/2014 à 16:11