Un mal pour un bien. L’affaire Heartbleed a mis en lumière les aléas des logiciels Open Source et en particulier les problématiques de validité de code et de sécurité. En l’espèce, la faille découverte touchait le logiciel OpenSSL chargé de protéger les identifiants de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en chiffrant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS. Ce bug existait depuis 2 ans.
Pour éviter que l’histoire ne se répète, la Fondation Linux a annoncé le lancement du projet Core Infrastructure Initiative (CII) qui regroupe plusieurs grands acteurs de l’IT. Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. Les membres se sont engagés à verser 100 000 dollars par an pendant au moins 3 ans (soit 3,6 millions de dollars) pour soutenir les projets visant à améliorer les logiciels Open Source, rapporte le Wall Street Journal. Le premier projet qui bénéficiera d’un soutien financier et technique sera sans surprise OpenSSL. A terme, la CII devra proposer un cadre de travail commun pour tester les logiciels Open Source utiles au fonctionnement sécurisé de l’Internet.
Après l’affaire Heartbleed, la plupart des acteurs de l’IT ont pris conscience de l’importance critique pour le cœur de l’informatique et des fonctions de l’Internet. Les projets Open Source sont souvent le fruit de passionnés ou d’une communauté très active, mais qui a parfois du mal à maintenir ou à faire évoluer leur solution. Dans le cas d’OpenSSL, la Core Infrastructure Initiative rappelle que cette librairie de chiffrement était sous-financée et sous-structurée. Ainsi les dons pour OpenSSL plafonnaient à 20 000 dollars par an. En plus de l’aspect financier, la CII mettra à disposition des compétences techniques, via des universitaires spécialistes de la cryptographie notamment pour renforcer la sécurité des projets.
En complément :
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Heartbleed : 2 sites Web sur 3 touchés par la faille OpenSSL ?
Crédit Photo: Code © Zothen – Fotolia.com
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…