Le monde est sur le point de recevoir un autre rappel sur la part d’Internet qui fonctionne grâce à une technologie maintenue par une poignée de codeurs travaillant avec un budget restreint. OpenSSL — le logiciel utilisé par des milliers d’entreprises pour crypter les communications en ligne — devrait faire l’objet d’une refonte de la sécurité cette semaine : Projet OpenSSL mentionné il prévoit de publier de nouvelles versions de son code pour corriger un certain nombre de failles de sécurité, dont certaines classées comme étant de gravité « élevée ».
OpenSSL est déployé dans d’innombrables organisations, y compris chez des géants du Web comme Facebook, Google et Yahoo – ainsi que dans l’ensemble des réseaux du gouvernement fédéral américain. Comme son nom l’indique, OpenSSL implémente Couche de sockets sécurisée Cryptage (SSL) (également connu sous le nom de « sécurité de la couche de transport » ou TLS) pour les sites Web et les réseaux associés, garantissant que les données ne peuvent pas être lues par des parties non fiables.
Le correctif est susceptible de déclencher une bousculade folle des équipes de sécurité des organisations qui s’appuient sur OpenSSL. En effet, les mises à jour de sécurité – en particulier celles ajoutées aux logiciels open source comme OpenSSL que tout le monde peut voir – donnent aux cybercriminels une feuille de route pour découvrir où se trouvent les vulnérabilités corrigées et un aperçu de la façon d’exploiter ces failles.
En effet, alors que le projet OpenSSL prévoit de publier les mises à jour le jeudi 19 mars, l’organisation ne pré-publie aucun détail sur les correctifs. Steve Marquessun partenaire fondateur de l’OpenSSL Software Foundation, a déclaré que les informations ne seront partagées à l’avance qu’avec les principaux fournisseurs de systèmes d’exploitation.
« Nous aimerions informer tout le monde afin qu’ils puissent être préparés et ainsi de suite, mais nous avons été lentement conduits à une politique assez brutale de non [advance] divulgation », a déclaré Marquess. « L’une de nos principales sources de revenus est les contrats de support, et nous ne leur donnons même pas de préavis. »
Le préavis aide non seulement les défenseurs, mais aussi les attaquants. L’année dernière, les vauriens se sont jetés sur Heartbleed, le surnom donné à une faille extrêmement critique d’OpenSSL qui permettait à quiconque d’extraire des mots de passe, des cookies et d’autres données sensibles de serveurs exécutant des versions vulnérables d’OpenSSL. Cette chronologie de divulgation Heartbleed explique en grande partie comment ce processus s’est déroulé d’une manière moins qu’idéale.
Dans le sillage de Heartbleed, les organisations médiatiques ont demandé comment un tel bogue – qui, selon de nombreux experts en sécurité, était une erreur assez évidente avec le recul – avait pu passer inaperçu dans les entrailles du code open source pendant si longtemps. marquis est allé sur son blog pour expliquer, en publiant une lettre ouverte demandant un soutien financier supplémentaire pour le projet OpenSSL et soulignant le fait qu’une grande partie d’Internet fonctionne au-dessus d’un logiciel maintenu par une petite équipe avec un budget restreint.
« Le mystère n’est donc pas que quelques bénévoles surmenés aient raté ce bogue ; le mystère est pourquoi cela ne s’est pas produit plus souvent », a déclaré à propos du bug Heartbleed.
Dans une interview avec BreachTrace, Marquess a déclaré que les mises à jour qui seront publiées demain sont en partie le produit d’une augmentation des dons et du financement que l’organisation a reçu à la suite de Heartbleed.
Dans ce bref éclat de publicité, la Fondation OpenSSL a décroché deux bourses de la Linux Foundation, ce qui signifie que le groupe a gagné deux nouvelles personnes qui sont payées pendant trois ans pour travailler à plein temps sur l’amélioration de la sécurité et de la stabilité d’OpenSSL. Grâce aux dons et à certains revenus commerciaux, la fondation autofinance également deux personnes supplémentaires pour maintenir le code.
« Nous avons quatre personnes qui travaillent à plein temps sur OpenSSL et qui font exactement ce qui doit être fait, au lieu de travailler sur des choses qui génèrent des revenus », a déclaré Marquess. «Nous avons beaucoup plus de ressources humaines, et l’une des raisons pour lesquelles vous voyez tous ces correctifs de bogues et de vulnérabilités sortir maintenant est que non seulement les étrangers recherchent des problèmes, mais nous le sommes aussi. « Nous procédons également à une refonte majeure du code source, en conjonction avec ce qui sera probablement le plus grand audit cryptographique jamais réalisé. »