Le Libre et ses sources, c'est sécure...ou pas
Depuis hier le monde du Libre est secoué d'un tremblement comparable à celui de la Chine. En effet une énorme faille a été découverte dans le module OpenSSL, faille liée à la génération de chiffres aléatoires, qui rend cette génération plus tellement aléatoire.
Le souci c'est que l'origine du bug remonte à 2006 et que toutes les clefs et autres certificats SSL/SSH qui ont été généré sur machine Debian (et ses dérivés) ne sont plus du tout sécurisées. Bien que la paquet impliqué ait été corrigé, il est impératif de générer à nouveaux toutes les clefs utilisées dans les applications qui s'appuient sur SSL/SSH. Bon courage aux admins.
Tout cela pour en arriver à la question suivante : comment cela se fait qu'il a fallut 2 ans pour découvrir la faille dans le modèle Open Source qui vente les mérites de disposer des sources pour que la "Communauté" puisse les analyser et ainsi trouver les failles ?
Le Libre aurait il des limites ?
Le souci c'est que l'origine du bug remonte à 2006 et que toutes les clefs et autres certificats SSL/SSH qui ont été généré sur machine Debian (et ses dérivés) ne sont plus du tout sécurisées. Bien que la paquet impliqué ait été corrigé, il est impératif de générer à nouveaux toutes les clefs utilisées dans les applications qui s'appuient sur SSL/SSH. Bon courage aux admins.
Tout cela pour en arriver à la question suivante : comment cela se fait qu'il a fallut 2 ans pour découvrir la faille dans le modèle Open Source qui vente les mérites de disposer des sources pour que la "Communauté" puisse les analyser et ainsi trouver les failles ?
Le Libre aurait il des limites ?
Posté par Sadroc à
17:04
0 Comments:
Enregistrer un commentaire
<< Home