De nouvelles failles dans OpenSSL
Six vulnérabilités viennent d’être découvertes dans la librairie de chiffrement OpenSSL. L’une d’entre elles permet de lancer des attaques de type man-in-the-middle.
La librairie de chiffrement OpenSSL n’a pas fini de faire parler d’elle. Alors que la vulnérabilité Heartbleed, bien que corrigée, continue de menacer de nombreux équipements et réseaux, ce sont aujourd’hui six nouvelles vulnérabilités de sécurité qui font l’objet de correctifs. Et leur application semble plus urgente que jamais. Comme le relève Lexsi dans un billet de blog, « alors que le monde entier s’est mis à jour il y a peu en installant OpenSSL 1.0.1g, il aura rarement existé une telle homogénéité de versions d’OpenSSL et donc de version d’OpenSSL vulnérables ».
Certes, la criticité des six nouvelles vulnérabilités découvertes apparaît considérablement plus faible que celle d’Heartbleed, mais deux d’entre elles n’en sont pas moins particulièrement sérieuses. La première « permet une exécution de code à distance sur les applications aussi bien serveur que client instrumentant la couche de chiffrement du protocole UDP OpenSSL DTLS », explique Lexsi. La seconde vulnérabilité majeure permet d’intercepter les communications chiffrées en s’immisçant dans la connexion grâce à une attaque de type man-in-the-middle. Les versions 1.0.1 et 1.0.2 beta 1 d’OpenSSL pour serveur sont vulnérables, ainsi que toutes les versions client.
Nouvelle polémique sur le processus de développement d’OpenSSL
Mais la vulnérabilité permettant l’exécution de code à distance a été découverte en avril pour n’être corrigée qu’aujourd’hui. De quoi faire bondir Theo de Raadt, fondateur d’OpenBSD et de LibreSSL, une librairie qui se veut une version allégée et nettoyée d’OpenSSL. Commentant l’annonce des nouvelles vulnérabilités affectant OpenSSL, Theo de Raadt s’emporte : « je crois les rapports selon lesquels les développeurs d’OpenSSL ont intentionnellement demandé aux autres de mettre en quarantaine [les informations sur les vulnérabilités les plus critiques] […] pour s’assurer que ces informations n’arrivent pas aux oreilles d’OpenBSD et de LibreSSL. Voilà, c’est dit. »
Au lancement du projet LibreSSL, Theo de Raadt expliquait : « le modèle Open Source dépend des personnes capables de lire le code. Cela dépend donc de sa clarté. » Et c’est là que, pour lui, réside toutes les difficultés avec OpenSSL : « la base de code n’est pas claire, parce que la communauté [du projet OpenSSL] ne semble pas se préoccuper de sa clarté. » Début avril, il s’était montré plus radical encore, estimant qu’OpenSSL « n’est pas développé par une équipe responsable. »
LibreSSL devrait être disponible en même temps qu’OpenBSD 5.6, attendue pour novembre 2014.
