Après Heartbleed, Google livre BoringSSL son fork OpenSSL

Dérivé d’OpenSSL dédié à Chrome (et ultérieurement à Android), BoringSSL se veut proche des solutions de Google. OpenSSL, BoringSSL, LibreSSL ; faites votre choix.

En avril dernier, une faille de large ampleur touchait l’outil open source OpenSSL, mettant ainsi en péril nombre de logiciels l’exploitant, ainsi que 65 % des sites web sécurisés accessibles à travers le monde (voir « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »).

Google présente aujourd’hui son propre dérivé d’OpenSSL, BoringSSL. Un composant qui sera intégré dans le dépôt logiciel du projet open source Chromium, mais qui pourrait également être utilisé prochainement par Android.

L’objectif n’est pas ici de remplacer OpenSSL, mais de disposer d’une offre mieux adaptée aux produits développés par Google. Aujourd’hui, de nombreux patchs d’OpenSSL sont dédiés spécifiquement à Chrome et à Android, rendant ainsi difficile la maintenance de ce projet.

Simplifier l’intégration de correctifs

Avec BoringSSL la charge de travail est inversée : ce sont les modifications appliquées à OpenSSL qui sont remontées vers le projet BoringSSL et non plus les modifications de Google qui sont appliquées à OpenSSL. Cette initiative vise ainsi l’économie de moyens et se veut donc plus lazy (paresseuse) que boring (ennuyeuse). Les développeurs promettent toutefois de continuer à faire redescendre leurs modifications vers le projet OpenSSL.

Notez que dans le même temps, la communauté open source semble s’être enfin réveillée. Les membres du projet OpenBSD travaillent sur leur propre dérivé d’OpenSSL, LibreSSL (voir « Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL »). Les développeurs du projet OpenSSL ont pour leur part multiplié les mises à jour de sécurité, avec deux grosses annonces : celle du 7 avril, liée à la faille Heartbleed, et celle du 5 juin, corrigeant 7 vulnérabilités.


Voir aussi
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales