Après la faille Heartbleed, naissance d'un fork d'OpenSSL : LibreSSL
Un fork d'OpenSSL est en train de naître. Il est lancé par des membres du projet OpenBSD suite à la faille survenue dans l'extension serveur Heartbleed (extension permettant de gérer le protocole de chiffrement). Concernant plus d'un demi-million de sites à travers le monde selon Netcraft, la vulnérabilité permet d'accéder aux clés privées de cryptage OpenSSL, et ainsi de pouvoir lire l'ensemble des messages et transactions chiffrées par le serveur.
Baptisé LibreSSL, le fork d'OpenSSL est motivé par une critique principale : le nombre de contributeurs au projet OpenSSL ne serait pas suffisant pour analyser sérieusement le code, et en déloger les failles. Les développeurs à l'initiative de LibreSSL veulent donc essayer de faire mieux. L'initiative est donc lancée par des membres du projet de système d'exploitation open source OpenBSD, et de son fondateur Theo de Raadt, connu pour ses prises de position critiques envers le projet OpenSSL.
Objectif de LibreSSL à court terme : proposer un fork d'OpenSSL au code complément revu et nettoyé des vulnérabilités qu'il pourrait encore contenir. L'API ne devrait cependant pas évoluer. Mais, comme le montre la page du nouveau projet, pour l'heure très simple, LibreSSL est encore en cours de structuration.
A lire aussi :
Akamai : son correctif pour la faille Heartbleed ne fonctionnait pas
Un demi-million de sites web touchés par la faille Heartbleed
Faille Heartbleed : quels sont les géants IT touchés