OpenSSL avait publié une alerte de sécurité plus tôt ce mois-ci pour corriger deux problèmes de gravité élevée. Il s’agit de l’une des nombreuses alertes de gravité élevée émises au cours des dernières années. Non seulement les grandes entreprises ont été touchées par ces problèmes, mais leurs clients ont également été touchés. Qu’est-ce que cela signifiera pour l’avenir d’OpenSSL?

OpenSSL est une bibliothèque populaire utilisée pour créer Secure Socket Layer (SSL) et Transport Layer Security (TLS) pour sécuriser un réseau. Fondamentalement, un serveur sécurisé fonctionnant sur un réseau exécute probablement OpenSSL. Il est utilisé dans les sites Web, les produits et tous les téléphones intelligents.

Une promenade dans l’histoire

Depuis 2014, OpenSSL a connu de nombreux problèmes de haute sécurité qui devaient être corrigés. Le bug Heartbleed a été signalé en avril. Le problème concernait la façon dont OpenSSL gérait les paquets d’extension de pulsation TLS. Cela pourrait entraîner le vol d’identifiants, d’informations personnelles ou de clés de déchiffrement par les pirates. Le bogue Heartbleed a été le point tournant qui a attiré l’attention sur OpenSSL et le manque de financement et de ressources pour soutenir ce projet open source.

Peu de temps après, la vulnérabilité du caniche a été détectée en octobre 2014. Ce problème pourrait permettre aux pirates de voler des informations qui pourraient permettre à un pirate de prendre le contrôle des comptes d’une victime. Et puis, la vulnérabilité FREAK en mars 2015 qui pourrait permettre de déchiffrer les communications entre les serveurs et les clients.

Le problème de LogJam détecté en mai 2015 pourrait permettre aux pirates d’exploiter un processus d’échange de clés de session au début des communications sécurisées. L’avis sur la vulnérabilité de falsification de certificats d’Alternative Chains , publié en juillet 2015, signifiait qu’un pirate pouvait contourner certaines vérifications dans un certificat non fiable.

Ce qui se passe aujourd’hui

Le dernier problème est une combinaison de deux bogues. Le premier bogue concerne la création d’un entier négatif zéro à partir de l’analyseur ASN.1. Ceci, combiné au deuxième problème de l’analyseur ASN.1, peut interpréter à tort les grandes balises universelles comme un zéro négatif. Toute application qui analyse et encode l’utilitaire de certificat x509 est vulnérable.

Le deuxième problème est dû à la résolution du problème des treize chanceux . Comme indiqué dans l’alerte de sécurité OpenSSL, un attaquant MITM peut utiliser une attaque oracle de remplissage pour déchiffrer le trafic lorsque la connexion utilise un chiffrement AES CBC et que le serveur prend en charge AES-NI.

Le correctif a été publié le 18 avril 2016. C’est un bon rappel à toutes les organisations de savoir ce qui est utilisé dans leur réseau et de confirmer que tous les logiciels sont corrigés et à jour.

Que nous réserve l’avenir?

Le nombre de problèmes récents a fait prendre conscience du manque de financement et de ressources soutenant OpenSSL. Par conséquent, l’Initiative d’infrastructure de base (IIC) a été créée peu de temps après la détection du problème de Heartbleed. L’objectif de cet organisme est d’aider à soutenir, à protéger et à renforcer les logiciels libres grâce à des fonds. Ces fonds peuvent être dépensés pour soutenir des vérifications de sécurité, des bourses pour que les développeurs puissent travailler à temps plein sur des projets open source ou des infrastructures informatiques et de test.

OpenSSL a été le premier à bénéficier de cette initiative. Ils ont créé une feuille de route pour nettoyer la base de code, établir des processus pour les changements critiques et comment les communiquer. CII a parrainé un audit OpenSSL l’année dernière. Aujourd’hui, OpenSSL fait partie d’un groupe de premiers récipiendaires des badges de pratiques exemplaires de l’IIC. L’insigne signifie que le logiciel libre répond aux critères de sécurité, de qualité et de sécurité.

Les projets open source dépendent généralement de dons pour soutenir leurs initiatives. Le soutien et les fonds maintenant consacrés à des projets de source ouverte par une organisation comme CII témoignent de l’importance qu’ils jouent dans l’industrie informatique.