Amazon Web Services a publié un module cryptographique open source pour sécuriser les données sensibles passées sur internet. « A Amazon Web Services, le chiffrement fort est l’une de nos caractéristiques standards et le protocole de chiffrement TLS (précédemment appelé SSL) fait partie intégrante de cet aspect. TLS est utilisé avec tous les API AWS et est également disponible directement pour les utilisateurs de plusieurs services AWS parmi lesquels Elastic Load Balancing (ELB), AWS Elastic Beanstalk, Amazon CloudFront, Amazon S3, Amazon RDS et Amazon SES », a rappelé Stephen Schmidt, Vice-Président de l’ingénierie de sécurité chez Amazon, dans un billet.
Pourtant, ces deux dernières années ont été pleines de rebondissements pour ce protocole de chiffrement comme le rappelle Schmidt. Il a souligné par exemple que des analyses ont mis en exergue plusieurs failles dans les algorithmes qui se sont avérées plus grave qu’on ne l’aurait pensé mais aussi que des chercheurs en sécurité ont identifié des problèmes dans plusieurs implémentations de TLS. Il faut rappeler par exemple la célèbre vulnérabilité HeartBleed en avril 2014 ou d’autres failles comme POODLE qui mettaient les données des utilisateurs en danger.
« Le protocole TLS, y compris toutes ces extensions optionnelles, est devenu très complexe. OpenSSL, son implémentation de référence, est constitué de 500 000 lignes de code avec au moins 70 000 d’entre elles qui sont impliquées dans le traitement de TLS. Naturellement, avec chaque ligne de code vient un risque d’erreur, mais ces larges fichiers représentent également des défis en matière d’audit du code, des examens de sécurité, de la performance mais aussi de l’efficacité ».
Aussi, dans son effort pour le chiffrement fort pour tous, Amazon a pensé à proposer en Open Source sa solution maison s2n (Signal-to-Noise). Sa bibliothèque, une implémentation de TLS, se veut avoir été élaborée pour être « petite, rapide, avec la simplicité comme priorité ». S2n évite d’implémenter des options et extensions rarement utilisées. Résultat des courses ? Elle comporte un peu plus de 6 000 lignes de code (contre 70 000 du côté de la bibliothèque de chiffrement OpenSSL). « L’une des conséquences de ce fait est que nous avons trouvé qu’il était plus facile d’effectuer des examens de sécurité sur s2n, nous avons déjà procédé à trois évaluations externes de sécurité et de tests de pénétration sur s2n, une pratique que nous allons continuer », a avancé Schmidt. Ce dernier a révélé qu’Amazon va commencer l’intégration de s2n dans plusieurs des services AWS dans les mois à venir, précisant au passage que vous n’aurez pas à effectuer une quelconque modification dans vos applications étant donné que TLS est un protocole standardisé et que s2n implémente déjà les fonctionnalités qu’AWS utilise. S2n n’a donc vraisemblablement pas encore été déployé dans sa pile logicielle pour le moment.
Schmidt spécifie que la bibliothèque s2n n’a pas pour vocation de remplacer OpenSSL qui fournit deux bibliothèques : libssl, qui implémente TLS et libcrypto qui est une bibliothèque de chiffrement d’un ordre plus général. La solution proposée par Amazon vient plutôt se positionner comme une alternative à la première (libssl).
Pour ceux qui désirent en savoir plus sur le projet ou même contribuer, le code source et la documentation sont disponibles sur GitHub sous la licence Apache Software License 2.0.
dépôt GitHub s2n
Source : AWS
Amazon propose son module de chiffrement s2n en open source
Et l'intégrera à plusieurs services AWS « dans les mois à venir »
Amazon propose son module de chiffrement s2n en open source
Et l'intégrera à plusieurs services AWS « dans les mois à venir »
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !