Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Suite à la découverte des failles sur OpenSSL, les développeurs d’OpenBSD ont publié les premières versions de leur fork LibreSSL : d’abord la 2.0.0 le 11 juillet 2014, puis la 2.1.0 le 12 octobre et la 2.1.1 le 16 octobre. Elles sont disponibles sur leur site FTP.
Les buts sont de moderniser la base de code, améliorer la sécurité, et appliquer les bonnes pratiques de développement (modernizing the codebase, improving security, and applying best practice development processes).

Plusieurs projets ont déjà cherché à remplacer OpenSSL. Par exemple, LibreSSL est censé fonctionner sous GNU/Linux, Solaris, Mac OS X ou FreeBSD.

LibreSSL 2.3.3 est disponible depuis le 22 mars 2016. Ce projet, démarré par des développeurs d’OpenBSD, vise à proposer une alternative sécurisée et moderne à OpenSSL, suite notamment aux failles Heartbleed et Poodle.

OpenSSL est un des logiciels libres les plus réussis et les plus importants (oui, oui, pas la peine d’avoir des boutons !). Réussi de par sa large utilisation ; important parce que l’infrastructure d’internet en dépend.

Le projet OpenSSL contient une implémentation haute performance d’algorithmes cryptographiques clés, une pile TLS et PKI complète et une boîte à outils en ligne de commande.

Mais il a toujours manqué d’une documentation exhaustive. Et pourtant elle existe : Ivan Ristić a écrit une somme sur le sujet, dont ce petit livre pratique est extrait.

GnuTLS est une bibliothèque logicielle libre diffusée sous la licence LGPL 2.1 et plus et écrite en C et C++. GnuTLS implémente les protocoles réseau SSL 3.0, TLS 1.0, TLS 1.1 et TLS 1.2. Ceux-là même utilisés par tous les navigateurs web quand vous surfez en HTTPS.

Une version majeure est en cours de développement, elle ajoute une implémentation du protocole DTLS et améliore la compatibilité avec OpenSSL.

N. D. L. A. : cet article est généré via une commande du type ansible-playbook InternetEstCassé.yml pour tester réellement les commandes.

Internet est cassé. Le Web ne marche plus. Le réseau est pété. Ça marche pas. Ce site est indisponible. Des lutins bloquent ma connexion. Les tuyaux sont bouchés. Y a Firefox qui veut pas, etc. Quand il y a un souci de réseau, toutes sortes d’imprécations, de suppositions, de supplications ou de raisons sont lancées. Peut‐on aller plus loin et essayer d’y voir plus clair, de déboguer un peu le souci et d’identifier le problème.

On va parler un peu d'IP — surtout la version 4 —, de TCP, d’UDP, d’ICMP, d’ARP, de DNS, de HTTP, etc., d’un peu de vue pratique de vérification du bon fonctionnement ou de recherche d’un souci. En dehors des pages Wikipédia, une lecture utile : la RFC 1180 « A TCP/IP Tutorial » (avec une traduction en français disponible).

La fondation NetBSD a annoncé le 6 octobre dernier deux nouvelles versions de leur système d'exploitation éponyme. Point de nouvelle fonctionnalité ici, il ne s'agit que de correctifs de bogues, et surtout de sécurité.

Ces deux nouvelles versions apportent d'ailleurs les mêmes correctifs et améliorations, qui seront détaillés en deuxième partie de dépêche.

Après la réponse musclée d’OpenBSD face à la faille Heartbleed d’OpenSSL, la Fondation Linux a aussi une tentative de solution. C’est un groupe de plus d’une dizaine d’entreprises qui va fournir plusieurs millions de dollars pour financer des projets capitaux et libres dans le besoin.

Les financements pourront aller à des développeurs clefs pour qu’ils puissent travailler à plein temps sur leur projet, à des audits de sécurité, à de l’infrastructure de test ou de développement, à des voyages ou même à des réunions physiques. Ce projet sera administré par la Fondation Linux et les fonds seront attribués par un groupe composé des différents bailleurs de fonds, de développeurs de logiciels libres ou d’autres membres des entreprises impliquées dans le Libre.

Pour l’instant, les premières sociétés impliquées sont (par ordre alphabétique) : Amazon, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMWare. La fondation espère que d’autres rejoindront le mouvement.

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

• [Developpez.com] Le Manifeste GNU souffle sa 30e bougie
• [Le Telegramme] Logiciels libres. La Ville donne l'exemple
• [Silicon.fr] Projet de loi sur le renseignement: «dangereux», «liberticide», «stupide»
• [Silicon.fr] Paris rejoint l'April pour promouvoir le logiciel libre
• [ZDNet] Qualité du code Open source: la confiance est-elle ébréchée après OpenSSL?
• [Next INpact] Islamic-news.info bloqué sans juge, pour apologie ou provocation au terrorisme
• [usine-digitale.fr] L’Etat s’ouvre davantage aux logiciels open source