Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Google propose sa propre version d’OpenSSL

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Google propose désormais son propre fork d’OpenSSL, la librairie OpenSource la plus populaire en la matière et dont une faille d’implémentation est à l’origine de la récente attaque HeartBleed (et qui a également connu avant cela son lot de vulnérabilités…)

Baptisé BoringSSL, il s’agit initialement du side-project d’un ingénieur qui souhaitait nettoyer le code source d’OpenSSL tel que le géant l’utilisait. Mais après avoir appliqué plus de 70 patches, dont certains n’ont pas été ré-intégrés à la branche officielle, le travail de maintenance lors de la publication de chaque nouvelle version d’OpenSSL s’est révélé trop important : il a donc été décidé de créer une branche indépendante (un fork).

Selon Adam Langley, l’ingénieur à l’origine du projet, BoringSSL ne fait aucune promesse de compatibilité avec OpenSSL : il ne l’est pas à l’origine et il est probable qu’au fil du temps la différence entre les deux bases de code ne fasse que s’accroitre. Mieux : maintenant qu’il est libéré de la nécessité de rester proche de son modèle, le projet envisage d’intégrer des éléments venus d’une autre librairie SSL, LibreSSL, elle-même déjà un fork d’OpenSSL !

Le nom, enfin, a de quoi surprendre. Mais sur le blog de l’éditeur Sophos, qui publie un billet au sujet de BoringSSL, Mark Stockley propose une explication convaincante : selon lui, pour qu’une technologie soit fiable elle doit être prévisible et ennuyeuse, un peu à l’image d’un ascenseur… Bref, So boring, mais tellement fiable ?

Plus d’information : 
Le code source sur GoogleSource


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

2 réponses à Google propose sa propre version d’OpenSSL

  1. chloe dit :

    J’espère que cette nouvelle version OpenSSL de google sera étanche à toutes ces failles de sécurité récemment découvertes. Android 4.4.4 quant à lui a fait ses preuves. Quoi qu’il en soit, je reste prudent et je laisse tourner Lastpass pour être tranquille.

  2. Gaduc dit :

    Bon, ben ça y est, c’est fait.
    Désormais nous aurons une version NSA officielle.
    Avant on en était pas certain mais au moins, maintenant, c’est sûr.

    Boring parce que c’est tellement barbant d’être inondé de requêtes FISA accompagnées d’un gagging order à chaque fois.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.