Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL

Crédit photo © Ponemon Institute

Fork d’OpenSSL, LibreSSL se recentre sur quelques fonctionnalités de base et offrira un code audité. Un projet dont le support se limite aujourd’hui à OpenBSD.

Au travers de la faille Heartbleed, c’est l’ensemble du projet OpenSSL qui a été remis en cause (voir « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette »). Certes, cette vulnérabilité a été corrigée rapidement, mais elle met en lumière certaines des faiblesses du projet.

Par manque d’intérêt de la part du public et des entreprises, la fondation OpenSSL travaille avec des moyens limités (et ce depuis ses débuts). Quatre personnes seulement seraient investies dans le développement de cet outil, dont deux actives et une seule employée à temps complet. Le tout pour un des projets les plus important de la Toile, car placé au cœur de la plupart des sites web sécurisés.

Si la faille a été corrigée sans délai, les conditions restent réunies pour que d’autres catastrophes touchent le projet OpenSSL dans le futur.

Etape 1 : une version simplifiée et auditée d’OpenSSL

L’équipe en charge du développement d’OpenBSD, un système d’exploitation de type UNIX ultra sécurisé, a souhaité apporter une réponse forte à ce problème. Il y a une semaine, elle a commencé un travail de nettoyage du code d’OpenSSL, afin de limiter tout risque ultérieur de faille.

Depuis, ce travail a pris de l’ampleur, avec le retrait de toutes les fonctions peu utilisées et un recentrage sur les OS de type UNIX. Exit Mac OS, Netware, OS/2, VMS ou même Windows. Un total de 90 000 lignes de code aurait ainsi d’ores et déjà été retiré du projet.

Une fois nettoyé, le code sera audité – chose qui manquait à OpenSSL – avant d’être intégré à OpenBSD 5.6, prochaine mouture majeure de l’OS. Les différences avec OpenSSL sont suffisamment importantes pour que les développeurs aient choisi de proposer un ‘fork’ (dérivé) du projet initial, lequel prend le nom de LibreSSL. Notez que LibreSSL demeure compatible avec la majorité des logiciels employant OpenSSL.

Etape 2 : la portabilité ?

Limité à OpenBSD, le projet LibreSSL pourrait toutefois être étendu par la suite à d’autres systèmes POSIX (UNIX et compatibles).

L’équipe en charge du développement de LibreSSL estime que deux conditions devront être réunies pour que LibreSSL soit étendu à d’autres OS : disposer d’une version entièrement réécrite d’OpenSSL adaptée à OpenBSD ; mettre en place des sources de financement pour rémunérer les travaux de portabilité.

« Nous savons que vous voulez tous ceci pour demain. Nous travaillons aussi vite que nous le pouvons, mais notre objectif principal est de créer un bon logiciel, dans lequel nous croirons suffisamment pour l’utiliser nous-mêmes », explique l’équipe de LibreSSL sur le site du projet.

À noter, le mode FIPS d’OpenSSL est purement et simplement retiré. La certification FIPS est jugée ici trop coûteuse, mais aussi contre-productive, voire dangereuse. Elle impose en effet l’utilisation de techniques moins sécurisées que ce qui est possible de réaliser aujourd’hui. Payer moins pour avoir plus, tel semble être le credo de LibreSSL.

Crédit photo : © Ponemon Institute


Voir aussi
Quiz Silicon.fr – Fuites de données, petits secrets et grands scandales