Recrutement de développeurs et audit de sécurité au programme pour OpenSSL grâce à une aide financière

Un mois à peine après l’annonce de la mise en place d’un groupe chargé de financer les projets open source, la Core Infrastructure Initiative a décidé de fournir au OpenSSL Project assez d’argent pour engager deux développeurs à temps plein et pour confier l’audit d’OpenSSL au Open Crypto Audit Project.

La CII est appuyée par le gratin des sociétés technologiques comme Google, Microsoft, IBM, la Linux Foundation, Facebook et Amazon et d’autres membres qui ont rejoint le groupe cette semaine. Il s’agit d’Adobe, de Bloomberg, HP Huawei et Salesforce.com qui contribueront à l’effort financier.

L’annonce de la CII survient alors que de nombreuses questions portent sur les projets de cryptographie. Mercredi, la page Internet principale de TrueCrypt et la page de Sourceforge affichaient une message qui mettait les utilisateurs en garde contre les dangers du paquet de chiffrement open source et la présence éventuelle de vulnérabilités de sécurité sans correctif. Un avertissement similaire était affiché sur l’écran d’installation de TrueCrypt 7.2, nouvelle version, signée avec la clé de chiffrement valide du projet. Il y a un mois, l’OCAP publiait un rapport préliminaire qui indiquait que la première phase de son audit de TrueCrypt n’avait mis en évidence aucune porte dérobée ou autres vulnérabilités troublantes. Cela fait des années que les experts en sécurité s’interroge sur l’intégrité du logiciel dans la mesure où ses développeurs sont anonymes et où TrueCrypt n’a jamais été soumis à un audit externe.

Désormais, l’équipe OCAP, à laquelle appartiennent notamment le professeur de l’université John Hopkins et le cryptographe Matthew Green et Kenn White, disposera également des fonds nécessaires à la réalisation d’un audit de OpenSSL. OpenSSL a subi un choc violent au début de cette année suite à la divulgation de la vulnérabilité Heartbleed qui a semé la panique sur Internet dans la mesure où ce logiciel est utilisé sur plus de 60 % des sites protégés par SSL.

« Que nous le voulions ou non, la sécurité d’Internet tel que nous le connaissons aujourd’hui dépend d’un petit nombre de projets open source. Cette initiative prévoit les ressources pour garantir la viabilité à long terme de ces projets. Elle renforce la sécurité pour tout le monde » explique Matthew Green.

Outre le financement de l’audit d’OpenSSL, la CII va également octroyer des ressources à Network Time Protocol et OpenSSH.

« Le développement d’un logiciel quel qu’il soit requiert un appui et un financement. Les logiciels open source ne constituent pas une exception à la règle et méritent un niveau d’appui à la hauteur du rôle primordial qu’ils jouent dans l’infrastructure des informations mondiale d’aujourd’hui. « La CII applique au financement des projets les plus critiques la même démarche basée sur la collaboration que celle qui est employée pour développer un logiciel. L’objectif de la CII est d’abandonner l’attitude réactive et les réponses pilotées par les crises au profit d’une méthode proactive mesurée capable d’identifier et de financer les projets qui en ont besoin. Je suis ravi de voir que nous disposons désormais d’un forum qui permet de mettre en contact les personnes qui ont les fonds avec celles qui en ont besoin » explique Jim Zemlin, directeur exécutif de The Linux Foundation.

La CII a également recruté de nouveaux conseillers, dont Matthew Green, Bruce Schneier, Eben Moglen de l’université de Columbia et Ted T’so de Google.

Comme l’a déclaré Bruce Schneier : « Il s’agit d’une étape importante franchie vers une meilleure sécurité sur Internet. Je suis heureux de voir que les sociétés technologiques qui reposent sur la sécurité du logiciel open source investissent dans cette sécurité. »

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *