Sécurité IT : nouvelle alerte sur OpenSSL

OpenSSL est sous haute surveillance depuis l’épisode Heartbleed. La bibliothèque open source de chiffrement fait notamment l’objet d’un audit mis en place par la Core Infrastructure Initiative, qui fédère de grands acteurs de la sphère IT autour de la Fondation Linux.

Les travaux menés en collaboration avec le groupe chargé du développement d’OpenSSL ont mené à la découverte de 7 vulnérabilités supplémentaires. Parmi les deux considérées critiques, l’une permet l’exécution de code à distance sur des applications aussi bien serveur que client instrumentant la couche de chiffrement du protocole UDP OpenSSL DTLS (Datagram Transport Layer Security). Selon le cabinet de sécurité Lexsi, « ce protocole étant majoritairement présent dans des applications offrant des fonctionnalités de visioconférence, il est probable que les références de ce marché telles que Cisco soient impactés« . Il faut donc s’attendre au déploiement imminent de correctifs.

Découverte par Masashi Kikuchi, la deuxième vulnérabilité critique rend possible le déchiffrement et la modification du trafic par une attaque de type « man-in-the-middle ». Sa particularité : elle est présente dans le code d’OpenSSL depuis… décembre 1998, soit le début du projet open source. Un bug qui aurait pu être réparé bien avant en testant le code.

Comme le note Silicon.fr, les autres failles sont considérées moins importantes. Présentant des risques de déni de service ou d’injection de code, elles ont été colmatées à travers une mise à jour de la bibliothèque. Au-delà d’OpenSSL, d’autres projets open source connaissent des fragilités. Illustration avec la bibliothèque de chiffrement GnuTLS, utilisée par différentes distributions Linux : une faille y a été dénichée par l’un des chercheurs de la société ayant découvert Heartbleed.

—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous des VPN ?

Crédit photo : Brian A Jackson – Shutterstock.com