Infos

Recrutement de développeurs et audit de sécurité au programme pour OpenSSL grâce à une aide financière

Un mois à peine après l’annonce de la mise en place d’un groupe chargé de financer les projets open source, la Core Infrastructure Initiative a décidé de fournir au OpenSSL Project assez d’argent pour engager deux développeurs à temps plein et pour confier l’audit d’OpenSSL au Open Crypto Audit Project.

La CII est appuyée par le gratin des sociétés technologiques comme Google, Microsoft, IBM, la Linux Foundation, Facebook et Amazon et d’autres membres qui ont rejoint le groupe cette semaine. Il s’agit d’Adobe, de Bloomberg, HP Huawei et Salesforce.com qui contribueront à l’effort financier.

L’annonce de la CII survient alors que de nombreuses questions portent sur les projets de cryptographie. Mercredi, la page Internet principale de TrueCrypt et la page de Sourceforge affichaient une message qui mettait les utilisateurs en garde contre les dangers du paquet de chiffrement open source et la présence éventuelle de vulnérabilités de sécurité sans correctif. Un avertissement similaire était affiché sur l’écran d’installation de TrueCrypt 7.2, nouvelle version, signée avec la clé de chiffrement valide du projet. Il y a un mois, l’OCAP publiait un rapport préliminaire qui indiquait que la première phase de son audit de TrueCrypt n’avait mis en évidence aucune porte dérobée ou autres vulnérabilités troublantes. Cela fait des années que les experts en sécurité s’interroge sur l’intégrité du logiciel dans la mesure où ses développeurs sont anonymes et où TrueCrypt n’a jamais été soumis à un audit externe.

Désormais, l’équipe OCAP, à laquelle appartiennent notamment le professeur de l’université John Hopkins et le cryptographe Matthew Green et Kenn White, disposera également des fonds nécessaires à la réalisation d’un audit de OpenSSL. OpenSSL a subi un choc violent au début de cette année suite à la divulgation de la vulnérabilité Heartbleed qui a semé la panique sur Internet dans la mesure où ce logiciel est utilisé sur plus de 60 % des sites protégés par SSL.

« Que nous le voulions ou non, la sécurité d’Internet tel que nous le connaissons aujourd’hui dépend d’un petit nombre de projets open source. Cette initiative prévoit les ressources pour garantir la viabilité à long terme de ces projets. Elle renforce la sécurité pour tout le monde » explique Matthew Green.

Outre le financement de l’audit d’OpenSSL, la CII va également octroyer des ressources à Network Time Protocol et OpenSSH.

« Le développement d’un logiciel quel qu’il soit requiert un appui et un financement. Les logiciels open source ne constituent pas une exception à la règle et méritent un niveau d’appui à la hauteur du rôle primordial qu’ils jouent dans l’infrastructure des informations mondiale d’aujourd’hui. « La CII applique au financement des projets les plus critiques la même démarche basée sur la collaboration que celle qui est employée pour développer un logiciel. L’objectif de la CII est d’abandonner l’attitude réactive et les réponses pilotées par les crises au profit d’une méthode proactive mesurée capable d’identifier et de financer les projets qui en ont besoin. Je suis ravi de voir que nous disposons désormais d’un forum qui permet de mettre en contact les personnes qui ont les fonds avec celles qui en ont besoin » explique Jim Zemlin, directeur exécutif de The Linux Foundation.

La CII a également recruté de nouveaux conseillers, dont Matthew Green, Bruce Schneier, Eben Moglen de l’université de Columbia et Ted T’so de Google.

Comme l’a déclaré Bruce Schneier : « Il s’agit d’une étape importante franchie vers une meilleure sécurité sur Internet. Je suis heureux de voir que les sociétés technologiques qui reposent sur la sécurité du logiciel open source investissent dans cette sécurité. »

Threatpost

Recrutement de développeurs et audit de sécurité au programme pour OpenSSL grâce à une aide financière

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception