Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

OpenSSL : un audit de sécurité lancé pour améliorer la sécurité de la bibliothèque de chiffrement
Les résultats attendus pour l'été

Le , par Amine Horseman

0PARTAGES

4  0 
NCC Group, une société de consulting basée à Manchester, va mener un audit sur la bibliothèque de chiffrement OpenSSL utilisée aujourd’hui par plus de 14 millions de sites web à travers le monde. Cet audit a pour but de détecter les failles de sécurité et diminuer les risques dans le futur.

En effet, durant l’année 2014, une importante vulnérabilité, nommée HeartBleed (cœur qui saigne), avait été découverte dans cette bibliothèque. Elle permettrait à un attaquant d'accéder à des données sécurisées par TLS/SSL directement dans la mémoire du serveur et récupérer les clefs. L’existence depuis plusieurs années d’une telle vulnérabilité avait suscité l’inquiétude des internautes sous influence des médias et interpellé les géants de l’informatique qui avaient formé une nouvelle alliance (CII : The Core Infrastructure Initiative) hébergée par la Linux Foundation pour financer les projets critiques et répondre aux besoins urgents de la sécurité informatique.

Cet audit -sponsorisé par la CII et organisé par l’Open Crypto Audit Project- va se concentrer principalement sur la vérification des protocoles, les couches TLS, les algorithmes de chiffrement, les états de transitions et la gestion de la mémoire. « Bien que la vérification ne va pas couvrir tous les recoins du code de base, nous croyons que ce sera un élément utile parmi les larges efforts entrepris pour améliorer l'ingénierie et de la sécurité d’OpenSSL », peut-on lire dans un billet de blog sur la page GitHub de Cryptography Services qui est une équipe de consultants de iSEC Partners, Matasano, Intrepidus Group et NCC Group.

Cryptography Services avait déjà commencé en février dernier un autre audit de sécurité sur le logiciel de chiffrement TrueCrypt. Les deux études vont se faire en parallèle et les résultats préliminaires concernant OpenSSL devraient commencer à apparaître dès le début de l’été 2015.

Source : Crypto Services

Et vous ?

Qu’en pensez-vous?

Une erreur dans cette actualité ? Signalez-le nous !

Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web