Amazon dévoile le code de sa mise en œuvre du protocole de chiffrement TLS

Amazon a dévoilé le code de sa version TLS baptisée s2n (signal-to-noise, rapport signal/bruit). s2n ne va pas remplacer OpenSSL. Il s’agit en fait d’une mise en œuvre allégée similaire à libssl, la bibliothèque OpenSSL qui prend en charge TLS. Stephen Schmidt, directeur de la sécurité de l’information chez Amazon, a déclaré dans un billet publié sur le blog d’AWS que s2n sera prochainement intégré à certains services d’Amazon. Le processus sera transparent pour les utilisateurs, ne nécessitera aucune modification dans l’application et il n’y aura aucune répercussion sur l’interaction du système.

« s2n est une bibliothèque qui doit être modeste, rapide et simple. Elle a été privée des options et des extensions rarement utilisées et dans sa version actuelle, elle ne comptabilise que 6 000 lignes de code. Ceci simplifie considérablement les analyses de s2n ; nous avons déjà réalisé trois séries d’audits externes et de tests d’intrusion et nous allons poursuivre cette pratique. » a déclaré Stephen Schmidt.

Le nombre relativement réduit de lignes de code rend s2n moins complexe, ce qui réduit les erreurs et les problèmes de sécurité par rapport à ce que connaît, par exemple, l’équipe en charge d’OpenSSL. Stephen Schmidt estime qu’OpenSSL compte plus de 500 000 lignes de code, dont 70 000 qui interviennent dans le traitement TLS.

« Le risque d’erreur existe naturellement dans chaque ligne et un tel volume représente un défi au niveau de l’audit du code, de l’analyse de la sécurité, des performances et de l’efficacité » ajoute Stephen Schmidt. Il précise que s2n a déjà subi deux analyses externes du code : une réalisée par un fournisseur commercial de solutions de sécurité et une autre réalisée par des experts en chiffrement issus de la communauté de la sécurité des informations.

OpenSSL, quant à lui, est en voie de rétablissement après 18 mois qui ont été difficiles : des vulnérabilités d’envergure comme Heartbleed ont mis ce projet de code ouvert qui manque de moyens sous pression. Les développeurs d’OpenSSL sont engagés dans une opération de grand nettoyage du code et dans la mise en place de processus formels pour l’introduction de modifications critiques. L’appui financier fourni par la Core Infrastructure Initiative (Initiative pour l’infrastructure centrale) a permis à OpenSSL d’engager deux collaborateurs à temps plein et contribue à la communication sur les erreurs, à la réalisation d’un audit du code et à l’introduction de modifications.

D’après Stephen Schmidt, s2n, tentera d’éviter le plus possible de telles difficultés. Les utilisateurs n’auront pas besoin de mettre à jour l’application et de faire tourner les certificats, comme ce fut le cas lors de l’incident Heartbleed ou d’autres bogues importants découverts au cours de ces 18 derniers mois.

La documentation qui accompagne le code source et qui est disponible sur Github indique que s2n prend en charge SSLv3, TLS 1.0, TLS 1.1 et TLS 1.2. La bibliothèque est également compatible avec les chiffrements 128 et 256 bits d’AES en mode CBC, GCM, 3DES et RC4. Elle prend également en charge DHE et ECDHE pour le chiffrement de bout en bout. Les solutions de chiffrement dépassées comme SSLv3, RC4 et DHE sont désactivées par défaut. Ainsi, SSLv3 a été officiellement déclaré obsolète il y a peu. Ce protocole, supplanté depuis longtemps par TLS, a permis de réaliser plusieurs attaque par retour, dont les plus célèbres sont POODLE et BEAST. s2n n’intègre pas le traitement des certificats x506 mis en œuvre dans une des bibliothèques OpenSSL.

De même, d’après un représentant d’Amazon, s2n contient des tests unitaires négatifs et positifs ainsi que des tests de bout en bout.

« Un des problèmes dans les bibliothèques TLS actuelles comme OpenSSL se situe au niveau de l’automatisation des tests sur les structures des données et des flux d’état » a déclaré Kenneth White, chercheur spécialisé en sécurité et directeur du projet Open Crypto Audit. Il poursuit en indiquant que « l’équipe d’AWS, en allégeant l’unité et en intégrant les tests dès le début, a mis l’accent sur la qualité de son produit, ce qui constitue un avantage pour tous les utilisateurs. »

Amazon indique que s2n fournit à chaque flux deux générateurs de chiffres aléatoires.

« Un pour les données ‘publiques’ créées de manière aléatoire qui peuvent être dévoilée et un autre pour les données « privées » qui doivent rester secrètes. Cette méthode limite le risque de vulnérabilités potentielles au niveau de la prévisibilité des algorithmes de génération des chiffres aléatoires en cas de fuite d’informations entre les contextes » peut-on lire dans le document.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *