Commençons par une petite définition. La plupart des logiciels que nous utilisons dans la vie de tous les jours, et notamment les navigateurs Internet nécessitent d’utiliser des mécanismes cryptographiques pour protéger les données qui sont échangées. Ces mécanismes sont gérés par des logiciels parmis lesquels OpenSSL, qui est un logiciel libre de cryptographie « clés en main ». Il a donc pour objectif de créer des clés cryptographiques afin de crypter les données transmises.
Or, au mois de mai dernier, Luciano Bello, un des développeurs de Debian (une distribution GNU/linux) a découvert une énorme faille de sécurité dans le logiciel. Je précise tout de suite qu’il ne s’agit pas d’une faille créée par un développeur malveillant (dans la communauté GNU/linux, ils n’existent pas 😀 ). En effet, en 2006, un autre bénévole a voulu « nettoyer » OpenSSL à l’aide d’un logiciel qu’il avait créé pour l’occasion. Le problème, c’est qu’il a supprimé deux lignes de code de la version Debian qui permettaient de générer des nombres aléatoires. Ainsi, les clés créées par le logiciel devenaient prévisibles par une recherche exhaustive et l’accès aux données transmises était possible.
Cette faille du logiciel présente depuis 2006 n’a donc été découverte que récemment. Fort heureusement, elle n’a pas été mise au jour par une personne mal intentionnée. Les gestionnaires du logiciel ont tout de suite été prévenus. Ils ont corrigé le problème et averti les utilisateurs du logiciel. Cependant, chaque utilisateur de Debian doit recréer ses clés OpenSSL et révoquer les anciennes car des attaques peuvent avoir lieu en ciblant les anciennes clés.
Je tiens tout de même à préciser que les logiciels propriétaires ne sont pas moins vulnérables, et qu’ils possèdent également de nombreuses failles de sécurité. 😉
Allez, une fois n’est pas coutume : un commentaire sérieux.
Je pense qu’il est utile de préciser que Debian n’est pas la seule distribution touchée : toutes les distributions basées sur Debian le sont aussi (Ubuntu en tête de liste, et très probablement Mepis, Knoppix…).
Quelques liens au passage :
Wiki Debian sur le sujet
Régénérer vos clés SSL
Merci pour cette précision… Les informations que j’ai trouvé sur le sujet ne parlaient pas des autres distributions mais je pense qu’elles ont effectivement été touchées.
Au passage, WP n’aime vraiment pas lien dans les commentaires 😀
Comme je viens de tomber dessus, un petit lien pour les geeks profonds (et les anglophones) : http://www.metasploit.com/users/hdm/tools/debian-openssl/
Je le poste surtout pour les deux comics en haut de page.
Héhé, elle est vraiment drôle cette petite BD 🙂
C’est quand même assez impressionnant de se rendre compte que supprimer deux lignes de code peuvent rendre un logiciel aussi défaillant !