Commen\u00e7ons par une petite d\u00e9finition. La plupart des logiciels que nous utilisons dans la vie de tous les jours, et notamment les navigateurs Internet n\u00e9cessitent d’utiliser des m\u00e9canismes cryptographiques pour prot\u00e9ger les donn\u00e9es qui sont \u00e9chang\u00e9es. Ces m\u00e9canismes sont g\u00e9r\u00e9s par des logiciels parmis lesquels OpenSSL, qui est un logiciel libre de cryptographie \u00ab cl\u00e9s en main \u00bb. Il a donc pour objectif de cr\u00e9er des cl\u00e9s cryptographiques afin de crypter les donn\u00e9es transmises.<\/p>\n
Or, au mois de mai dernier, Luciano Bello, un des d\u00e9veloppeurs de Debian (une distribution GNU\/linux) a d\u00e9couvert une \u00e9norme faille de s\u00e9curit\u00e9 dans le logiciel. Je pr\u00e9cise tout de suite qu’il ne s’agit pas d’une faille cr\u00e9\u00e9e par un d\u00e9veloppeur malveillant (dans la communaut\u00e9 GNU\/linux, ils n’existent pas \ud83d\ude00 ). En effet, en 2006, un autre b\u00e9n\u00e9vole a voulu \u00ab nettoyer \u00bb OpenSSL \u00e0 l’aide d’un logiciel qu’il avait cr\u00e9\u00e9 pour l’occasion. Le probl\u00e8me, c’est qu’il a supprim\u00e9 deux lignes de code de la version Debian qui permettaient de g\u00e9n\u00e9rer des nombres al\u00e9atoires. Ainsi, les cl\u00e9s cr\u00e9\u00e9es par le logiciel devenaient pr\u00e9visibles par une recherche exhaustive et l’acc\u00e8s aux donn\u00e9es transmises \u00e9tait possible.<\/p>\n
Cette faille du logiciel pr\u00e9sente depuis 2006 n’a donc \u00e9t\u00e9 d\u00e9couverte que r\u00e9cemment. Fort heureusement, elle n’a pas \u00e9t\u00e9 mise au jour par une personne mal intentionn\u00e9e. Les gestionnaires du logiciel ont tout de suite \u00e9t\u00e9 pr\u00e9venus. Ils ont corrig\u00e9 le probl\u00e8me et averti les utilisateurs du logiciel. Cependant, chaque utilisateur de Debian doit recr\u00e9er ses cl\u00e9s OpenSSL et r\u00e9voquer les anciennes car des attaques peuvent avoir lieu en ciblant les anciennes cl\u00e9s.<\/p>\n
Je tiens tout de m\u00eame \u00e0 pr\u00e9ciser que les logiciels propri\u00e9taires ne sont pas moins vuln\u00e9rables, et qu’ils poss\u00e8dent \u00e9galement de nombreuses failles de s\u00e9curit\u00e9. \ud83d\ude09 <\/p>\n","protected":false},"excerpt":{"rendered":"
Commen\u00e7ons par une petite d\u00e9finition. La plupart des logiciels que