Linux : une faille de Debian met en évidence des problèmes de communication

Cloud

Gartner alerte les développeurs open source.

La récente découverte d’une faille SSL (Secure Socket Layer) potentiellement sérieuse affectant une distribution Linux populaire est alarmante pour la communauté open source, d’après une note du Gartner. John Pescatore, vice-président et analyste distingué chez Gartner, a appelé les développeurs open source et les fabricants utilisant des logiciels open source à améliorer le processus de communication de façon à résoudre ce problème, qui pourrait mener à l’exposition de données cryptées.

Le Sans Institute a émis une « alerte jaune » le 16 mai à propos de la vulnérabilité SSL dans certaines distributions Debian. Cette vulnérabilité affecte les paires de clés de cryptage utilisées par le logiciel Debian OpenSSL et pourrait permettre aux hackers d’accéder à des données de transaction, mots de passe, informations financières et autres données cryptées sensibles. Un conseiller Debian propose des recommandations pour un correctif du logiciel.

« Cette vulnérabilité, qui a apparemment été introduite par les développeurs de Debian, et non par les développeurs open source OpenSSL, souligne l’un des risques de l’utilisation de produits logiciels incorporant des modules Open Source », déclare Pescatore. « En mai 2006, les développeurs Debian ont choisi d’apporter des modifications au logiciel OpenSSL utilisé par Debian pour corriger ce qui paraissait être une fuite mémoire, plutôt que d’attendre que la communauté de développeurs OpenSSL procède à l’examen et la résolution du problème ».

Pescatore affirme que ce « correctif » de Debian a sérieusement affaibli le générateur de chiffres aléatoires d’OpenSSL, ce qui facilite la découverte de clés de cryptage par d’éventuels attaquants. « En règle générale, le code de cryptage ne doit pas être modifié sans un examen poussé destiné à déterminer l’impact des modifications sur le fonctionnement correct du code et la conformité avec les FIPS (Federal Information Processing Standards) », déclare-t-il.

Pescatore note que la liste de diffusion des développeurs OpenSSL indique que les développeurs Debian ont essayé de communiquer avec la communauté de développement OpenSSL, mais que les processus de communication informelle « se sont révélés clairement inadéquats dans ce cas précis ». « Cette expérience confirme que la gestion des processus de communication Open Source nécessite des améliorations majeures », déclare-t-il.

« Dans de nombreux autres cas, les fabricants de produits apportent des modifications à des logiciels open source sans même essayer de contacter les développeurs en amont. Cette approche augmente significativement le risque d’introduction de nouvelles vulnérabilités dans le code open source et l’éventualité que des correctifs en amont pour d’autres vulnérabilités causent des problèmes ultérieurs avec les modules modifiés par les fabricants. Les fabricants commerciaux et Open Source incorporent fréquemment des modules Open Source tiers à leur code, et les entreprises doivent être conscientes des problèmes potentiels pouvant en résulter. »

Adaptation de l’article Debian flaw exposes communications breakdown de Vnunet.com en date du 28 mai 2008.