Un mal pour un bien. L’affaire Heartbleed a mis en lumière les aléas des logiciels Open Source et en particulier les problématiques de validité de code et de sécurité. En l’espèce, la faille découverte touchait le logiciel OpenSSL chargé de protéger les identifiants de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en chiffrant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS. Ce bug existait depuis 2 ans.
Pour éviter que l’histoire ne se répète, la Fondation Linux a annoncé le lancement du projet Core Infrastructure Initiative (CII) qui regroupe plusieurs grands acteurs de l’IT. Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. Les membres se sont engagés à verser 100 000 dollars par an pendant au moins 3 ans (soit 3,6 millions de dollars) pour soutenir les projets visant à améliorer les logiciels Open Source, rapporte le Wall Street Journal. Le premier projet qui bénéficiera d’un soutien financier et technique sera sans surprise OpenSSL. A terme, la CII devra proposer un cadre de travail commun pour tester les logiciels Open Source utiles au fonctionnement sécurisé de l’Internet.
Après l’affaire Heartbleed, la plupart des acteurs de l’IT ont pris conscience de l’importance critique pour le cœur de l’informatique et des fonctions de l’Internet. Les projets Open Source sont souvent le fruit de passionnés ou d’une communauté très active, mais qui a parfois du mal à maintenir ou à faire évoluer leur solution. Dans le cas d’OpenSSL, la Core Infrastructure Initiative rappelle que cette librairie de chiffrement était sous-financée et sous-structurée. Ainsi les dons pour OpenSSL plafonnaient à 20 000 dollars par an. En plus de l’aspect financier, la CII mettra à disposition des compétences techniques, via des universitaires spécialistes de la cryptographie notamment pour renforcer la sécurité des projets.
En complément :
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Heartbleed : 2 sites Web sur 3 touchés par la faille OpenSSL ?
Crédit Photo: Code © Zothen – Fotolia.com
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…