Avec Libsodium, PHP intègre une librairie de chiffrement moderne

Dans sa version 7.2 attendue pour la fin de l’année, PHP intégrera par défaut la librairie de chiffrement Libsodium. De quoi renforcer la sécurité des CMS bâtis sur ce langage, dont WordPress.

L’équipe en charge du développement de PHP a voté à l’unanimité l’intégration de la librairie de chiffrement Libsodium. Selon Scott Arciszewski, responsable du développement de Paragon Initiative Enterprises à l’origine de cette proposition, PHP sera le premier langage de programmation à supporter par défaut une technologie moderne de chiffrement, même si Erlang ou Go intègrent déjà des librairies similaires. Mais, dans le cas présent, l’impact risque d’être tout autre ; PHP étant utilisé par plus de 80 % des sites Web dans le monde.

La proposition d’intégration de Libsodium (aussi appelée Sodium) au sein des librairies standards de langage a été approuvée par 37 voix contre 0, et va se traduire par l’intégration de Libsodium dans la version 7.2 de PHP attendue pour la fin de l’année. Dans l’esprit de Scott Arciszewski, qui milite pour un renforcement du chiffrement dans les CMS PHP comme WordPress, l’arrivée de cette librairie doit faciliter le travail des hébergeurs et des entreprises, qui doivent pour l’instant gérer des extensions de PHP dédiées à la sécurité. Le support par défaut du chiffrement éliminera ce fardeau.

WordPress est aussi concerné

Par ricochet, l’intégration de Libsodium devrait aussi avoir des effets bénéfiques sur la sécurité de WordPress, puisque le CMS devra utiliser les fonctions de chiffrement offertes par défaut dans PHP. « Je pense que la sécurité devrait être offerte à tous, pas juste aux 1 % qui peuvent se l’accorder, écrit Arciszewski, dans un e-mail envoyé à nos confrères de Bleeping Computer. Marier les deux [PHP et Libsodium] est le moyen le plus logique et direct pour amener davantage de sécurité entre les mains des développeurs qui, sinon, n’auraient ni le temps ni l’expertise en matière de chiffrement pour bâtir par leurs propres moyens quelque chose de sécurisé. »

La librairie portable Libsodium offre des fonctions de chiffrement, déchiffrement, signatures, hash de mots de passe, etc. Elle est écrite en C, comme le code source de PHP.

Une faille dans PHPMailer fragilise des CMS et des millions de sites web

Photo via Visualhunt

Lire aussi : Développement Web : PHP 8.1 peine-t-il à s’imposer ?