OpenSSL est-il sécurisé... dans sa domination ?

Il existe peu de bibliothèques de logiciels aussi importantes pour le bon fonctionnement quotidien d’Internet qu’OpenSSL, et pourtant elles ne sont plus respectées. Maintenant qu'un concurrent légitime et open source semble être en vue, il est possible que les développeurs abandonnent OpenSSL comme les rats d'un navire en perdition.

OpenSSL n'est pas seulement utilisé pour SSL par les sites Web. Toutes sortes de logiciels ayant des besoins cryptographiques l’utilisent pour les fonctions de base. Par exemple, OpenSSH — écrit par le même groupe OpenBSD qui intègre maintenant OpenSSL dans LibreSSL - les usages la libcrypto OpenSSL API pour les fonctions cryptographiques de base également utilisées par OpenSSL libssl, la partie la plus célèbre.

Avec autant de code utilisant OpenSSL, ce dont ils dépendent réellement n’est pas la bibliothèque OpenSSL elle-même, mais l’API. C'est pourquoi les implémenteurs de LibreSSL, tout en supprimant une grande partie de l'implémentation d'OpenSSL, prévoient de garder ce qui reste des API compatibles. Placez simplement les fichiers LibreSSL là où se trouvaient les fichiers OpenSSL et le programme se compilera et se liera correctement avec la nouvelle bibliothèque.

De quoi OpenSSL a-t-il pour se sauver, à part l'inertie ?

Donc, en théorie, même une distribution Linux majeure ou un VPN pourrait simplement brancher la nouvelle bibliothèque et devrait fonctionner. La raison pour laquelle ils pourraient faire cela est que OpenSSL est connu depuis longtemps pour être un gâchis, et Heartbleed a couvert les efforts visant à faire quelque chose à ce sujet.

Si vous parcourez l'histoire des logiciels open source, il n'est pas facile de trouver des exemples de formes de code supplantant un programme important. J'ai interrogé mes collègues et le meilleur exemple que j'ai entendu est LibreOffice, la suite d'applications de productivité issue de Bureau ouvert et qui l'a dépassé en popularité. En fait, beaucoup d’entre vous qui pensent utiliser OpenOffice utilisent en réalité LibreOffice.

LibreOffice ne fournit pas beaucoup d'indications pour l'exemple d'Open/LibreSSL. Les utilisateurs de LibreOffice sont des utilisateurs; les utilisateurs d'OpenSSL sont des programmeurs. Les avantages et les inconvénients du changement de suite bureautique peuvent être immédiatement évidents pour l'utilisateur, tandis que les avantages du changement de bibliothèque cryptographique seront, du moins au début, complètement théoriques.

Et il existe des cas de logiciels qui nécessitent la suppression des fonctionnalités pour LibreSSL; logiciel conçu pour les fonctions gouvernementales américaines qui nécessitent la prise en charge FIPS 140-2, par exemple. Mais Theo de Raadt, responsable d'OpenBSD, insiste sur le fait que peu de personnes aux États-Unis et personne à l'extérieur ne se soucient de FIPS.

Mais pour l'écrasante majorité des applications qui n'ont pas besoin des fonctionnalités manquantes et pour lesquelles les développeurs apprécier l'amélioration de la qualité et de la sécurité dans une bibliothèque plus simple et mieux écrite, LibreSSL peut être un moyen facile décision.

Si un programme majeur qui utilise actuellement OpenSSL devait passer à LibreSSL, cela pourrait être considéré comme une autorisation pour que d'autres lui emboîtent le pas. Une distribution Linux majeure serait admissible.

Certains des principaux développeurs en cause ici, comme Red Hat et IBM, font partie des rares qui pourraient réellement se soucier de FIPS et des autres fonctionnalités manquantes. Mais il n'y a aucune raison pour qu'ils ne puissent pas inclure à la fois des bibliothèques et une option de configuration ou un commutateur d'éditeur de liens pour permettre un choix.

De nombreux tests doivent être effectués avant qu’un projet majeur ne prenne un tel risque, mais il est logique que cela fonctionne. De quoi OpenSSL a-t-il pour se sauver, à part l'inertie ?