La Linux Foundation s’investit pour renforcer les fondements d’Internet
Lourde de conséquences, la vulnérabilité Heartbleed a poussé les géants de l’IT à s’investir, via la Fondation Linux, pour consolider les éléments clé d’infrastructure des services en ligne.
La vulnérabilité Heartbleed, qui affecte certaines versions de la librairie de chiffrement OpenSSL, n’en finit pas d’avoir des conséquences et de secouer l’industrie informatique. Alors que certaines voix s’étaient élevées pour souligner le manque de financements accompagnant le développement d’OpenSSL, la Fondation Linux arrive aujourd’hui avec une solution.
Elle vient en effet d’annoncer le lancement d’un nouveau projet visant à « financer et à soutenir les éléments critiques de l’infrastructure d’information mondiale ». Baptisée Core Infrastructure Initiative, ce projet est notamment soutenu par Amazon Web Services, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware et la Fondation elle-même. Dans un communiqué, Jim Zemlin, directeur exécutif de l'institution Open Source, explique que ce projet à « plusieurs millions de dollars » consiste en une « extension du travail que nous accomplissons déjà pour le noyau Linux, à d’autres projets susceptibles d’avoir besoin de soutien ». Et de souligner que l’économie mondiale « est construite sur de nombreux projets Open Source ».
Cette annonce survient peu de temps après le lancement d’une autre initiative, pilotée par le fondateur d’OpenBSD et visant notamment à nettoyer le code d’OpenSSL pour produire une librairie alternative, LibreSSL. Une initiative qui soulevait le risque, aujourd’hui levé, d’une éventuelle cannibalisation de ressources.
Mais LibreSSL aura-t-il encore sa place après cette mobilisation de la Fondation Linux autour d'OpenSSL ? La cohabitation des deux ne serait pas forcément une mauvaise nouvelle, à lire Dan Geer, analyste en sécurité informatique. Dans un billet de blog, il dénonce ainsi la monoculture, soulignant que « seules les monocultures permettent des défaillances à l’échelle d’Internet », alors même qu’elles sont la condition « sine qua non de l’exploitation de masse » pour les législateurs. Pour lui, la question de la monoculture dans les infrastructures informationnelles critiques « a été, un temps, centrée sur Microsoft Windows ». Mais ce n’est plus le cas. Désormais, pour lui, il s’agit « de petits équipements et des puces qui les équipent », une monoculture plus « pervasive, dans des packages plus petits, avec des rôles encore moins remarquables ».
Des propos qui résonnent comme en écho à ceux tenus par David Lacey, d’IOActive, qui intervenait en ouverture du Forum International de la Cybersécurité, à Lille, en janvier dernier. Il appelait à « sortir de la monoculture de la sécurité », dénonçant le fait que toute le monde « utilise les mêmes produits » et que les pratiques dites de référence « créent la monoculture, un monde dans lequel tout le monde copie tout le monde ».