La récente découverte d’une faille SSL (Secure Socket Layer) potentiellement sérieuse affectant une distribution Linux populaire est alarmante pour la communauté open source, d’après une note du Gartner. John Pescatore, vice-président et analyste distingué chez Gartner, a appelé les développeurs open source et les fabricants utilisant des logiciels open source à améliorer le processus de communication de façon à résoudre ce problème, qui pourrait mener à l’exposition de données cryptées.
Le Sans Institute a émis une « alerte jaune » le 16 mai à propos de la vulnérabilité SSL dans certaines distributions Debian. Cette vulnérabilité affecte les paires de clés de cryptage utilisées par le logiciel Debian OpenSSL et pourrait permettre aux hackers d’accéder à des données de transaction, mots de passe, informations financières et autres données cryptées sensibles. Un conseiller Debian propose des recommandations pour un correctif du logiciel.
« Cette vulnérabilité, qui a apparemment été introduite par les développeurs de Debian, et non par les développeurs open source OpenSSL, souligne l’un des risques de l’utilisation de produits logiciels incorporant des modules Open Source », déclare Pescatore. « En mai 2006, les développeurs Debian ont choisi d’apporter des modifications au logiciel OpenSSL utilisé par Debian pour corriger ce qui paraissait être une fuite mémoire, plutôt que d’attendre que la communauté de développeurs OpenSSL procède à l’examen et la résolution du problème ».
Pescatore affirme que ce « correctif » de Debian a sérieusement affaibli le générateur de chiffres aléatoires d’OpenSSL, ce qui facilite la découverte de clés de cryptage par d’éventuels attaquants. « En règle générale, le code de cryptage ne doit pas être modifié sans un examen poussé destiné à déterminer l’impact des modifications sur le fonctionnement correct du code et la conformité avec les FIPS (Federal Information Processing Standards) », déclare-t-il.
Pescatore note que la liste de diffusion des développeurs OpenSSL indique que les développeurs Debian ont essayé de communiquer avec la communauté de développement OpenSSL, mais que les processus de communication informelle « se sont révélés clairement inadéquats dans ce cas précis ». « Cette expérience confirme que la gestion des processus de communication Open Source nécessite des améliorations majeures », déclare-t-il.
« Dans de nombreux autres cas, les fabricants de produits apportent des modifications à des logiciels open source sans même essayer de contacter les développeurs en amont. Cette approche augmente significativement le risque d’introduction de nouvelles vulnérabilités dans le code open source et l’éventualité que des correctifs en amont pour d’autres vulnérabilités causent des problèmes ultérieurs avec les modules modifiés par les fabricants. Les fabricants commerciaux et Open Source incorporent fréquemment des modules Open Source tiers à leur code, et les entreprises doivent être conscientes des problèmes potentiels pouvant en résulter. »
Adaptation de l’article Debian flaw exposes communications breakdown de Vnunet.com en date du 28 mai 2008.
Loading ...
Derniers commentaires
3 Responses to Linux : une faille de Debian met en évidence des problèmes de communication-
Le 29 mai 2008 à 14:38 par ismael
-
Le 30 mai 2008 à 10:02 par Banzai
-
Le 4 juin 2008 à 9:55 par SABELLE
Il est effectivement très intéressant de se pencher sur les causes de l’apparition d’une faille de sécurité. Car s’il est important de les corriger, il serait préférable de ne pas en créer.
Ce que nous apporte l’open source ici, c’est la possibilité pour tout un chacun d’analyser les causes de la faille. Cela ne veut pas dire que c’est un problème spécifique à l’Open Source, bien évidemment.
En revanche, j’ai l’impression que, même s’il est souhaitable de mettre en place un maximum de gardes fou, on arrivera difficilement à éviter l’erreur humaine, souvent liée à une incompréhension, à la fatigue, à la précipitation, …
On peut lire « l’un des risques de l’utilisation de produits logiciels incorporant des modules Open Source »
L’article oublie toutefois de rappeler que si le logiciel avait été à « sources fermés » (UN fichier source), personne n’aurait jamais vu la faille, sauf peut-être un jour en analysant une série d’exploit ! Je suis personnellement convaincu que la sécurité par la transparence est incomparablement supérieure à la sécurité par l’obfuscation.
De plus, le logiciel étant open source, tout un chacun était à même de corriger et de proposer un patch rectificatif. Chose impossible dans le cas d’un logiciel à sources fermés. Rappelons qu’un éditeur comme Microsoft met parfois des mois à corriger des bugs, quand il consent à le faire.
Je ne vois pas en quoi l’opensource est responsable , je trouve cette phrase un peu limité et fondé sur aucune analyse sérieuse. Faite des statistique sur les vulnérabilité CVE entre par exemple un logiciel de base de donnée propriétaire et open source et vous verrez que la capacité de réaction pour corrigé une faille est bien supérieur sur la DB open source. exemple 10 jours en moyen pour MySQL et plusieurs mois pour Oracle