Heartbleed : les géants du Net au secours des projets Open Source clés
Publié par La rédaction le | Mis à jour le
Après avoir chacun ouvré de leur côté pour colmater la faille Heartbleed dans OpenSSL, plusieurs acteurs de l'IT ont décidé d'investir collectivement sous la bannière de la Fondation Linux dans l'amélioration et la sécurisation des logiciels Open Source.
Un mal pour un bien. L'affaire Heartbleed a mis en lumière les aléas des logiciels Open Source et en particulier les problématiques de validité de code et de sécurité. En l'espèce, la faille découverte touchait le logiciel OpenSSL chargé de protéger les identifiants de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en chiffrant la communication réalisée depuis le terminal (PC, tablette, smartphone.) sous protocole SSL/TLS. Ce bug existait depuis 2 ans.
3,6 millions de dollars sur 3 ans
Pour éviter que l'histoire ne se répète, la Fondation Linux a annoncé le lancement du projet Core Infrastructure Initiative (CII) qui regroupe plusieurs grands acteurs de l'IT. Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. Les membres se sont engagés à verser 100 000 dollars par an pendant au moins 3 ans (soit 3,6 millions de dollars) pour soutenir les projets visant à améliorer les logiciels Open Source, rapporte le Wall Street Journal. Le premier projet qui bénéficiera d'un soutien financier et technique sera sans surprise OpenSSL. A terme, la CII devra proposer un cadre de travail commun pour tester les logiciels Open Source utiles au fonctionnement sécurisé de l'Internet.
Assurer la continuité des projets Open Source critiques
Après l'affaire Heartbleed, la plupart des acteurs de l'IT ont pris conscience de l'importance critique pour le cour de l'informatique et des fonctions de l'Internet. Les projets Open Source sont souvent le fruit de passionnés ou d'une communauté très active, mais qui a parfois du mal à maintenir ou à faire évoluer leur solution. Dans le cas d'OpenSSL, la Core Infrastructure Initiative rappelle que cette librairie de chiffrement était sous-financée et sous-structurée. Ainsi les dons pour OpenSSL plafonnaient à 20 000 dollars par an. En plus de l'aspect financier, la CII mettra à disposition des compétences techniques, via des universitaires spécialistes de la cryptographie notamment pour renforcer la sécurité des projets.
En complément :
Avec LibreSSL, l'équipe d'OpenBSD reprend la main sur OpenSSL
Heartbleed : 2 sites Web sur 3 touchés par la faille OpenSSL ?
Crédit Photo: Code © Zothen - Fotolia.com