OpenSSL sera audité et maintenu à plein temps par deux développeurs

Le , par Arsene Newman, Expert éminent sénior
Plus d’un mois après l’annonce de la création du consortium CII (Core Infrastructure Initiative) en réponse au tollé provoqué par la faille d’OpenSSL Heartbleed, une feuille de route a été émise. Le but de la manœuvre est de financer certains projets libres pour les auditer ainsi que détecter et corriger leurs bugs.

Dirigé par la fondation Linux et réunissant différents géants de l’IT y compris ceux qui sont traditionnellement adeptes des logiciels propriétaires comme Microsoft, le consortium a décidé de financer en priorité le projet OpenSSL en affectant deux développeurs et en finançant un audit qui se fera via OCAP (Open Crypto Audit Project).

Outre OpenSSL, la CII a aussi décidé du financement de deux autres projets : OpenSSH et le protocole NTP (Network Time Protocol). Un conseil consultatif a été également créé pour aider les sociétés participantes aux projets open source, qui ont besoin de support.

« Tout développement logiciel nécessite un support et un financement. Le logiciel open source ne fait pas exception et mérite une attention à hauteur du rôle dominant qu’il joue aujourd’hui dans le support mondial des infrastructures de l’information » a expliqué Jim Zemlin, Directeur exécutif de la fondation Linux, avant de rajouter : « La CII met en œuvre la même approche collaborative qui est utilisée pour le développement logiciel que pour le financement des projets les plus critiques. L’objectif de la CII est de passer d’une réponse réactive à la crise à une approche proactive afin d’identifier et de financer les projets qui sont le plus dans le besoin. Je suis ravi que nous ayons maintenant un forum pour connecter ceux dans le besoin avec ceux disposant des fonds ».

Enfin, la fondation Linux a annoncé que plus de 5.4 millions de dollars ont d’ores et déjà été alloués et que le consortium a été rejoint par d’autres acteurs majeurs de l’IT. Il s’agit notamment d’Adobe, Bloomberg, HP, Huawei et Salesforce.

Source : Annonce Linux Foundation

Et vous ?

Pensez-vous que ce financement sera suffisant pour éviter un nouvel heartbleed ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 01/06/2014 à 18:19
Je ne vois pas en quoi un financement même sans limite pourrait supprimer tous les risques. Par contre, si ça permet de multiplier les contrôles, c'est forcément un plus.
Avatar de Zefling Zefling - Membre expert https://www.developpez.com
le 02/06/2014 à 14:02
Ça sera toujours mieux qu'un ou deux bénévoles qui font ça quand ils ont le temps le soir.
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 02/06/2014 à 15:00
Les projets comme OpenSSL ne sont plus maintenu par 1 ou 2 bénévoles de temps en temps. Cela fait longtemps que des ingénieurs de Google, Facebook ou encore Microsoft, Apple sont payé pour développer des projets Open-source utilisés en interne. Ce dont il est question c'est de maintenir et auditer les projets très critique de manière "permanente". Actuellement, les ingénieur faisait signe quand il trouvaient un bug ou plus souvent une faille dans le protocole et plus souvent encore une nouvelle fonctionnalité a ajouter et l'ajoutait. Certes toute une communauté vérifiait derrière mais ce n'était pas défini précisément et le vieux code était rarement audité.

Il faut savoir qu'aucune entreprise privé ne maintient un code comme OpenSSH/OpenSSL aussi largement utilisé et critique. Certes certaines entreprise travail pour la défense sur des outils plus sécurisé encore mais le plus souvent ils se basent sur OpenSSH/OpenSSL et si ce n'est pas le cas en reprennent l'essence sur des pojet plus difficile a hacké parce que peu utilisés.
Avatar de Colmea Colmea - Membre du Club https://www.developpez.com
le 02/06/2014 à 18:36
Bonne initiative ! En espérant qu'elle s'élargisse rapidement à d'autres projets.

Par contre, est-ce que c'est bien nécessaire de mettre deux personnes à plein temps sur OpenSSL ? (vraie question, je ne connais pas assez le projet pour juger de l'utilité de deux devs sur ce projet).
Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 04/06/2014 à 9:26
Citation Envoyé par Colmea Voir le message
Bonne initiative ! En espérant qu'elle s'élargisse rapidement à d'autres projets.

Par contre, est-ce que c'est bien nécessaire de mettre deux personnes à plein temps sur OpenSSL ? (vraie question, je ne connais pas assez le projet pour juger de l'utilité de deux devs sur ce projet).
La première nécessité : éviter les pertes.
Avatar de Jedai Jedai - Expert éminent https://www.developpez.com
le 04/06/2014 à 15:42
Attention : OpenSSH et OpenSSL ne sont pas comparables, ce n'est pas du tout la même équipe et la qualité du code est bien meilleure dans OpenSSH (maintenu par les types d'OpenBSD) que dans OpenSSL (ce qui ne veut pas dire qu'OpenSSH n'a pas de bugs...).

Mettre tant de sous et de moyens dans OpenSSL en l'état me semble une très mauvaise idée, j'aurais préféré que ces moyens soient mis derrière LibreSSL, le fork d'OpenSSL démarré par les types d'OpenBSD et qui a déjà bien nettoyé le code (voir cette page pour des changements détaillés avec commentaires caustiques et pour une présentation du projet et de ses motivations).

A terme, je pense qu'utiliser C pour programmer ce type de bibliothèque est une stratégie erronée et un langage alternatif qui assure un minimum de sécurité par défaut serait un choix préférable.
Avatar de Hinault Romaric Hinault Romaric - Responsable .NET https://www.developpez.com
le 06/06/2014 à 7:34
Découverte de sept nouvelles failles de sécurité dans OpenSSL
des correctifs sont disponibles

OpenSSL, la bibliothèque de chiffrement open source largement utilisé sur le Web revient au-devant de la scène après la faille Heartbleed (« cœur qui saigne »), qui avait fait un véritable tollé sur le Web.

Sept nouvelles vulnérabilités ont été découvertes dans la solution, dont l’une étiquetée comme critique, permet d’espionner des communications sécurisées avec TLS/SSL.

Selon le « CVE-2014-0224 » utilisé pour référencer la faille, un pirate pourrait l’exploiter pour effectuer une attaque de type Man-in-the-middle (MITM) et exécuter du code arbitraire pour déchiffrer et modifier les données échangées entre un client et un serveur. Pour réussir une attaque, le pirate devrait donc être en mesure dans un premier temps d’intercepter le trafic entre un client et un serveur.

Toutes les versions du client OpenSSL sont affectées par cette faille. Du côté serveur, seules les versions 1.0.1 et 1.0.2-beta1 sont touchées. La faille avait été signalée aux développeurs du projet le 1er mai par le chercheur japonais Masashi Kikuchi. La faille est divulguée publiquement suite à la sortie des correctifs de sécurité.

Une autre faille a également donné des sueurs froides aux experts en sécurité. Il s’agit de la vulnérabilité référencée par le « CVE-2014-0195 ». Elle concerne le Datagram Transport Layer Security (DTLS) et avait été signalée depuis le 23 avril. L’exploitation réussie de cette faille par l’envoi de fragments DTLS invalides à un client ou un serveur OpenSSL, peut entrainer un dépassement de tampon et ouvrir la voie à l’exécution du code malveillant sur un client ou un serveur vulnérable.

DTLS est également affecté par une vulnérabilité récursive étiquetée « CVE-2014-0221 » et qualifiée de non critique. Un pirate pourrait via une attaque de type Man-in-the-middle, injecter du code récursif qui pourrait aboutir à une attaque par déni de service (DOS).

Deux autres vulnérabilités marquées comme importantes peuvent également entrainer une attaque par déni de service. Les versions 1.0.0 et 1.0.1 d’OpenSSL où « SSL_MODE_RELEASE_BUFFERS » est activé sont affectées par cette faille.

Les développeurs de la bibliothèque de chiffrement ont publié des correctifs pour toutes les failles qui ont été mentionnées dans le bulletin de sécurité. Il est conseillé d’appliquer urgemment les correctifs de sécurité.

Il faut noter que suite à la découverte de la faille Heartbleed, les géants de l’IT à travers le consortium Core Infrastructure Initiative se sont regroupés pour financer les projets open source critiques. OpenSSL sera désormais maintenu par deux développeurs à plein temps et aura droit un audit qui se fera via OCAP (Open Crypto Audit Project).

Source : Le bulletin de sécurité d'OpenSSL
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 06/06/2014 à 10:27
Ces 7 failles n'auraient pas été découvertes sans Heartbleed. A quelque chose malheur est bon...

C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !
Avatar de Pierre GIRARD Pierre GIRARD - Expert éminent https://www.developpez.com
le 06/06/2014 à 12:42
Citation Envoyé par Traroth2 Voir le message
...C'est la NSA qui va commencer à faire la tête : leurs portes secrètes sont murées les unes après les autres !
Une façon assez originale de voir la chose
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 12/06/2014 à 10:34
Citation Envoyé par Pierre GIRARD Voir le message
Une façon assez originale de voir la chose
Quand on regarde les choses de cette manière, ça en dit long sur la relation ambigue de la NSA avec l'intérêt du public (y compris du public étasunien)...
Contacter le responsable de la rubrique Accueil