Un mal pour un bien. L’affaire Heartbleed a mis en lumière les aléas des logiciels Open Source et en particulier les problématiques de validité de code et de sécurité. En l’espèce, la faille découverte touchait le logiciel OpenSSL chargé de protéger les identifiants de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en chiffrant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS. Ce bug existait depuis 2 ans.
Pour éviter que l’histoire ne se répète, la Fondation Linux a annoncé le lancement du projet Core Infrastructure Initiative (CII) qui regroupe plusieurs grands acteurs de l’IT. Facebook, Google, Microsoft, mais aussi Cisco, IBM, VMware, Dell, Fujitsu, Intel, NetApp, Amazon et Rackpsace. Les membres se sont engagés à verser 100 000 dollars par an pendant au moins 3 ans (soit 3,6 millions de dollars) pour soutenir les projets visant à améliorer les logiciels Open Source, rapporte le Wall Street Journal. Le premier projet qui bénéficiera d’un soutien financier et technique sera sans surprise OpenSSL. A terme, la CII devra proposer un cadre de travail commun pour tester les logiciels Open Source utiles au fonctionnement sécurisé de l’Internet.
Après l’affaire Heartbleed, la plupart des acteurs de l’IT ont pris conscience de l’importance critique pour le cœur de l’informatique et des fonctions de l’Internet. Les projets Open Source sont souvent le fruit de passionnés ou d’une communauté très active, mais qui a parfois du mal à maintenir ou à faire évoluer leur solution. Dans le cas d’OpenSSL, la Core Infrastructure Initiative rappelle que cette librairie de chiffrement était sous-financée et sous-structurée. Ainsi les dons pour OpenSSL plafonnaient à 20 000 dollars par an. En plus de l’aspect financier, la CII mettra à disposition des compétences techniques, via des universitaires spécialistes de la cryptographie notamment pour renforcer la sécurité des projets.
En complément :
Avec LibreSSL, l’équipe d’OpenBSD reprend la main sur OpenSSL
Heartbleed : 2 sites Web sur 3 touchés par la faille OpenSSL ?
Crédit Photo: Code © Zothen – Fotolia.com
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…