Le projet OpenSSL se veut plus réactif
Fort de l’expérience de la vulnérabilité Heartbleed, l’équipe du OpenSSL clarifie sa politique de notification des failles.
L’expérience de la vulnérabilité Heartbleed a montré l’ampleur de la dépendance à la librairie de chiffrement OpenSSL. Consciente de son rôle clé, l’équipe chargée du projet a tenu à clarifier sa politique quant à la communication autour de problèmes de sécurité dont elle est notifiée ou qu’elle découvre.
Les problèmes de faible sévérité « seront généralement corrigés immédiatement dans les dernières versions de développement ». Ils seront mentionnés dans la page des vulnérabilités et dans la liste des changements apportés à la librairie. Les problèmes de sévérité moyenne - tels que des « crashes dans les applications clientes, des failles dans les protocoles couramment utilisés » - seront « en général gardés privés jusqu’à la prochaine version » stable de la librairie. Comprendre : « contenu au sein de l’équipe de développement OpenSSL ».
Les problèmes de haute sévérité – par exemple « affectant des configurations communes et susceptibles d’être exploitables » - resteront privés également et déclencheront, dès correction, le lancement d’une nouvelle version de la librairie : « nous chercherons à garder aussi réduit que possible le temps durant lequel ces problèmes sont gardés privés », avant un maximum d’un mois pour corriger l’incident.
Parallèlement, une équipe de cinq universitaires américains a rendu ses conclusions après enquête sur la vulnérabilité Heartbleed. Celles-ci apportent une réponse à la question consistant à savoir si la vulnérabilité a été connue avant avril dernier et si elle a pu être mise à profit en secret. Pour eux, cela semble peu probable. De fait, ils assurent n’avoir « pas trouvé d’indice d’attaques de grande échelle avant la révélation publique [de la vulnérabilité, NDLR], mais les scans de vulnérabilité ont commencé 22h après cette divulgation. »