OpenSSL, impossible à réparer ?
Le fondateur d’OpenBSD vient de créer une variante d’OpenSSL, revendiquant un nettoyage en profondeur du code de la librairie de chiffrement, alors que la faille Heartbleed continue de secouer Internet.
Développer une variante d’OpenSSL, largement allégée et nettoyée. C’est l’ambition de Theo de Raadt, fondateur d’OpenBSD à l’origine de cette initiative. Soutenue par la fondation OpenBSD, celle-ci doit fournir le code d’une nouvelle librairie de chiffrement appelée LibreSSL. Cette dernière s'appuie sur le code d’OpenSSL dans sa version 1.0.1g, dans laquelle la vulnérabilité Heartbleed a déjà été corrigée. Des bugs ont déjà été identifiés et corrigés dans cette base. Mais, surtout, il s’agit de nettoyer en profondeur le code en supprimant par exemple les éléments nécessaires à la compilation de la librairie pour MacOS, Netware, OS/2, VMS ou encore Windows pour se concentrer sur les environnements Unix. La fonctionnalité Heartbeat dans laquelle la vulnérabilité Heartbleed trouvait son origine a été également supprimée.
Dans un e-mail à nos confrères d’Ars Technica, Theo de Raadt explique sa démarche : « le modèle Open Source dépend des personnes capables de lire le code. Cela dépend donc de sa clarté. » Et c’est là que, pour lui, réside toutes les difficultés avec OpenSSL : « la base de code n’est pas claire, parce que la communauté [du projet OpenSSL] ne semble pas se préoccuper de sa clarté. » En tout, 90 000 lignes de code C auraient déjà été supprimées. LibreSSL devrait être disponible en même temps qu’OpenBSD 5.6, attendue pour novembre 2014.
Saluée par certains, l’initiative de Theo de Raadt sera-t-elle véritablement salutaire ? La question reste ouverte à ce jour et pose la question du risque de cannibalisation des ressources. De fait, la fondation OpenBSD risque de recevoir des donations qui feront in fine défaut à l’OpenSSL Software Foundation pour assurer le développement et l’évolution d’OpenSSL. Récemment, Steve Marquess, consultant freelance, s’inquiétait justement des faibles ressources de la fondation.
En attendant, la vulnérabilité Heartbleed continue d’être exploitée par les pirates. Mandiant relève ainsi qu’elle a été mise à profit contre une appliance VPN pour détourner des sessions d’utilisateurs actives et, ainsi, contourner les mécanismes d’authentification à facteurs multiples.