Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Sécurité de l'OpenSource

Sécurité de l'OpenSource
2008-05-262013-02-11lois, réglementations, standards et certificationsfr
Il y a peu, une faille de sécurité jugée importante, touchant l'ensemble des versions d'OpenSSL disponibles depuis la 0.9.8c-1, soit septembre 2006, a été divulguée. Cette actualité relance les débats autours de la sécurité des logiciels OpenSource.Si l'ouverture du code à la...
Publié le 26 Mai 2008 par Christophe Roland dans lois, réglementations, standards et certifications

Il y a peu, une faille de sécurité jugée importante, touchant l'ensemble des versions d'OpenSSL disponibles depuis la 0.9.8c-1, soit septembre 2006, a été divulguée. Cette actualité relance les débats autours de la sécurité des logiciels OpenSource.
Si l'ouverture du code à la communauté permet sa relecture par un grand nombre d'individus, la quantité de relecteurs peut varier en fonction de la notoriété du projet. Il faut en outre pouvoir allier des compétences tant au niveau du langage de programmation utilisé qu'au niveau du domaine d'application du logiciel relu  (cryptographie, réseau, ...) afin d'obtenir une relecture efficace.
De plus, les logiciels OpenSource sont écrits en mode collaboratif la pluspart du temps, ce qui rend leur lecture plus complexe que celle des logiciels industriels soumis à des standards de programmation beaucoup plus drastiques en terme de formalisme, structuration...
Rappelons que la décourverte d'une faille par un individu ne lui impose pas plus d'en informer la communauté dans un contexte OpenSource que dans un autre contexte. Une telle faille, bien que détectée, ne sera pas corrigée et pourra continuer d'être exploitée.
Ainsi, le label "OpenSource" ne devrait en aucun cas être lu comme synonyme de code sécurisé. Code propriétaire ou non, la meilleure des assurances ne résiderait-elle pas dans les projets de "certification"? On peut alors mieux estimer les ressources allouées à la relecture de code ainsi que la cible de sécurité retenue. Début 2008, le rapport du projet OSH (Open Source Hardening Project) Coverity_White_Paper-Scan_Open_Source_Report_2008.pdf mettait en avant 11 projets OpenSource presque exempts de faille de sécurité. Ce projet a été lancé en mars 2006 par le département américain de la sécurité intérieure pour un budget initial de 300 000 dollars et confié à l'Université de Stanford et à la société Coverity. Cette étude de près de 10 milliards de lignes de code a ainsi mis en avant des tendances en terme d'erreurs les plus courantes ex: Déréférencement du pointeur NULL à 28%.

3 Commentaires

  • 2 Juin 2008
    2008-06-02
    par
    J'oubliais : ajoutons qu'un CERT (http://www.ocert.org/) spécifique à l'Open Source a vu le jour il y a peu. Une de ses principales missions est entre autre la synchronisation et relecture de code afin de vérifier la qualité des correctifs proposés.

    Regrettable que ce CERT ne soit pas apparu deux ans plus tôt.
  • 2 Juin 2008
    2008-06-02
    par
    La vulnérabilité identifiée a, à priori, été engendrée par la suppression de lignes de code au sein des librairies OpenSSL, modification effectuée par les développeurs de la distribution Debian et non par les contributeurs OpenSource OpenSSL. Les outils d'analyse/audit de code et de debugging mémoire (type Purify, Valgrind) auraient remontés des alarmes sur une portion de code impliquée dans la génération des aléas.

    Du coup, la génération des pseudo-aléas basée sur la routine PRNG s'en retrouve fortement fragilisée en ne s'appuyant plus que sur le PID comme valeur « aléatoire » (suivant les plateformes/OS, on peut se retrouver avec un PID max de 32768, soit très, trop peu de valeur seed).

    L'objectif initial était pourtant louable : corriger une fuite mémoire (donc liée à la qualité/sécurité du code) au sein des librairies OpenSSL. L'effet inverse s'est finalement produit ...

    Pour les amateurs de Wiki : http://wiki.debian.org/SSLkeys
    Pour les puristes, le diff : http://svn.debian.org/viewsvn/pkg-openssl/openssl/trunk/rand/md_rand.c?r...
  • 27 Mai 2008
    2008-06-02
    par
    Audenard Jean-François
    La vulnérabilité identifiée au niveau d'OpenSSL a pour effet de réduire la qualité des clefs générées (pb sur le générateur de nombres aléatoire). Celles-ci sont donc plus aisément cassables par des attaques de type "brute-force". Il est important de regénérer ses clefs utilisées dans SSH, OpenVPN , DNSSEC , tous matériel utilisé dans les certificats X.509 et plus généralement toutes clefs utilisées dans des contextex comme SSL et TLS.
    Cela concerne uniquement les distribution Linux Debian ou celles basées sur Debian (Ubuntu par exemple).
    Pour plus d'infos, rien ne vaut le bulletin officiel :
    http://lists.debian.org/debian-security-announce/2008/msg00152.html

    Notre recommandation : Régénérez tous vos clefs sans tarder si cela n'est pas déjç fait.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage