Sécurité : LibreSSL, invité de marque d’OpenBSD 5.6

OpenBSD 5.6 est livré en mouture définitive : LibreSSL y remplace OpenSSL, OpenSMTPD supplante Sendmail et httpd succède à Apache.

Le système d’exploitation OpenBSD passe en version 5.6. Ce projet, mené par Theo de Raadt, propose une série de nouveautés qui devrait le conforter comme OS de choix pour les adeptes d’une sécurité extrême. 1 128 changements sont présents dans cette version.

L’avancée la plus importante est l’arrivée en standard de LibreSSL, un dérivé d’OpenSSL créé par l’équipe d’OpenBSD (voir à ce propos nos articles « Heartbleed : la faille qui met OpenSSL, et la NSA, sur la sellette » et « Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL »).

LibreSSL offre un support du chiffrement des communications réseau complètement modernisé : retrait de la gestion des systèmes d’exploitation jugés obsolètes ; arrêt du support d’anciens protocoles (y compris le SSLv2) ; fin de la conformité FIPS-140. Cette offre se veut plus légère et mieux intégrée aux librairies de base de l’OS, ce qui devrait la rendre plus facile à maintenir qu’OpenSSL.

Autre nouveauté majeure, le serveur de messagerie électronique OpenSMTPD remplace maintenant Sendmail comme offre par défaut mise en œuvre par OpenBSD. Il est ici livré en version 5.4.3, laquelle propose un meilleur niveau de sécurité. Enfin, OpenSSH passe en version 6.7. Cette mouture propose de nombreux changements qui permettront à terme de la transformer en une librairie utilisable depuis des applications tierces.

Sécurité maximale

D’autres changements permettront d’améliorer la sécurité d’OpenBSD. Ainsi, le système de protection contre les dépassements de mémoire tampon se veut plus efficace (du niveau de l’option -fstack-protector-strong proposée par GCC). Kerberos et md5crypt sont retirés de l’OS. Enfin, une version plus aisée à exploiter de l’API bcrypt fait son entrée.

Dernier point, un nouveau serveur web (httpd), avec support FastCGI et SSL, est intégré à l’OS. Cette offre plutôt complète sera en mesure de gérer simultanément différents noms de domaine. Cette arrivée provoque le retrait d’Apache des paquets de base d’OpenBSD. Totalement géré par les équipes du projet OpenBSD, httpd se montrera également plus facile à maintenir et à auditer.

Du x86 aux ARM

OpenBSD est disponible en de multiples versions adaptées aux architectures processeur les plus courantes dans le monde des serveurs. Le tout est proposé avec un ensemble de 8800 adaptations de logiciels en provenance du monde Unix.

Les machines x86 (32 ou 64 bits) sont celles qui disposent du meilleur support, avec 8 588 paquetages logiciels. Les mondes PowerPC (8 049 logiciels) et Sparc64 (7 965 titres) sont également bien supportés. À noter, la rapide montée en puissance de l’architecture ARM, qui est maintenant livrée avec 5 633 paquetages logiciels, contre seulement 4681 sous OpenBSD 5.5.

D’autres architectures processeur profitent d’une logithèque étoffée sous OpenBSD : Mips64 (6 697 logiciels), Alpha (6 278 titres) et PA-Risc (6 143 paquetages).

Lire aussi : Bibliothèques Open Source : des mises à jour qui se font attendre