Sécurité : les développeurs Rust alertés sur leurs clés API

Développeurs Rust, vous allez devoir créer de nouvelles clés API sur crates.io*.

Le groupe de travail chargé de piloter la sécurité du langage de programmation et de son écosystème a fait cette annonce mardi 14 juillet.

En cause, deux problèmes, aujourd’hui résolus. D’un côté, les clés API étaient stockées en clair. De l’autre, elles dépendaient d’un générateur de nombres aléatoires insuffisamment sécurisé.

Le générateur en question était une fonction PostgreSQL. Un membre de la communauté Rust a constaté qu’en prenant connaissance de suffisamment d’informations, un tiers avait la possibilité de déterminer toutes les clés API générées depuis le dernier redémarrage du serveur de base de données.

Les modifications nécessaires ont été effectuées pour basculer vers un générateur « sécurisé ». Et pour éviter le stockage en clair (implémentation d’un système de hachage).

Le ton de l’alerte est rassurant. Officiellement, il n’y a pas de traces d’une quelconque attaque et il aurait été « très difficile » d’en lancer une.

* crates.io est le registre officiel des paquets qu’a créées la communauté Rust. Il en regroupe environ 43 000, pour plus de 3,3 milliards de téléchargements.

Logo © Mozilla – CC/BY

Recent Posts

5G : quelle réalité commerciale en France ?

Orange, SFR et Bouygues Telecom lancent la commercialisation de la 5G en France. Comment l'intègrent-ils…

6 heures ago

Intelligence artificielle : ServiceNow s’offre Element AI

La firme américaine ServiceNow acquiert la jeune pousse canadienne d'intelligence artificielle Element AI et ses…

7 heures ago

Windows Feature Experience Pack : Microsoft lève le mystère

Microsoft officialise la raison d'être du Windows Feature Experience Pack et en publie une première…

11 heures ago

AWS loue maintenant des Mac

Des serveurs dédiés basés sur des Mac mini 2018 arrivent au catalogue AWS. L'offre est…

14 heures ago

AWS renforce Amazon CodeGuru Reviewer

AWS intensifie la révision automatisée de code du service CodeGuru avec Codequality Detector. Le but…

1 jour ago

Quand l’approche DevOps se déploie à grande échelle

Plus l'approche Devops des organisations est mature, plus l'utilisation de plateformes internes en libre-service, couplée…

1 jour ago