OpenSSL se dote d’un nouveau niveau d’alerte

C’est une petite subtilité sémantique, mais elle n’a rien d’innocent. Dans un billet de blog, les équipes du projet OpenSSL expliquent qu’elles prévoient désormais de qualifier de critique la sévérité de certaines vulnérabilités. Jusqu’ici, elles se contentaient de trois niveau de sévérité : basse, modérée et élevée.

Las, le dernier niveau s’est avéré couvrir un trop grand nombre de vulnérabilités, « de problèmes tels que le déni de service jusqu’à l’exécution de code à distance ». Dès lors, en cas de notification d’une vulnérabilité de sévérité élevée, « les utilisateurs (et la presse) sautaient sur la conclusion qu’il s’agissait du prochain Heartbleed. Nous avons entendu des équipes d’exploitation dans le monde entier attendant de procéder immédiatement à l’application du correctif, puis découvrir qu’il s’agissait de quelque chose ne nécessitant pas d’être immédiatement corrigé ».

D’où la volonté de placer les vulnérabilités les plus graves dans une catégorie à part. Le projet OpenSSL qualifie donc de critiques des vulnérabilités qui « affectent les configurations communes et sont susceptibles d’être exploitées » pour compromettre les données en mémoire vive dans les serveurs, les clés privées de chiffrement, ou encore permettre une exécution de code à distance.

Les équipes du projet expliquent par ailleurs ne pas vouloir adopter le système standard de notation des vulnérabilités, CVSS. D’une part parce qu’il a été reproché à sa version actuelle de sous-noter Heartbleed, à 5 sur 10, mais aussi par la volonté de représenter la probabilité qu’une vulnérabilité affecte une configuration courante d’OpenSSL, et celle qu’elle soit exploitée.