Une réaction sur Debian Planet en français

Avant-propos : je ne connais pas l'auteur des propos ci-dessous ni son rôle au sein de la communauté. Je sais en revanche que je vais passer mon week-end à reparamétrer un paquet de trucs impactés par cette vulnérabilité sur les serveurs dont je m'occupe et que mon propos est donc justifié.

Je lis sur http://planet-fr.debian.net/ un post de Roland Mas intitulé "Branle-bas SSH/SSL" publié le 15 mai. Ce message, assez clair par ailleurs sur le fait que les conséquences de cette vulnérabilité dépassent largement le cadre de la simple distribution Debian (et dérivées) puisque les clefs et certificats pourris ont pu être copiés un peu partout ailleurs, ce message donc est présenté comme un rectificatif des informations incorrectes ayant pu être publiées ci et là.

Et il présente donc fort à propos l'origine du problème de la façon suivante : "Le cœur du problème : pour des raisons tout-à-fait légitimes, et suite à une mauvaise communication avec les auteurs amont d'OpenSSL, les versions d'OpenSSL (...) utilisaient un générateur de nombres pseudo-aléatoires (...) absolument pas aléatoire."

Soit j'ai mal compris la phrase ci-dessus, soit Roland est en train de nous expliquer qu'une faille de sécurité majeure, impliquant l'un des systèmes de sécurité les plus utilisées au monde (SSH, PKI, VPN), qui risque de mettre gravement en cause la crédibilité du logiciel libre aux yeux de pas mal de monde, et accessoirement qui va me faire perdre mon week-end à mettre à jour les nombreuses machines dont j'ai la charge, cette faille de sécurité donc a été introduite pour des raisons tout à fait légitimes.
Vous verrez, dans 2 jours il va nous sortir qu'en fait "it's not a bug, it's a feature".

J'ai du mal à voir les "raisons légitimes" qui justifieraient qu'un contributeur touche à un composant critique au petit bonheur la chance pour faire plaisir au debuggeur et que personne n'y trouve rien à redire.

[ Répondre ]