Accueil » Actualité » Une douzaine d’acteurs s’associent pour éviter un nouveau fiasco Heartbleed

Une douzaine d’acteurs s’associent pour éviter un nouveau fiasco Heartbleed

Image 1 : Une douzaine d’acteurs s’associent pour éviter un nouveau fiasco HeartbleedHeartbleed est sans aucun doute l’une des plus importantes vulnérabilités découvertes ses dernières années tant par le nombre de systèmes, serveurs, sites et périphériques qui en sont victimes que par la gravité de son impact. Rappelons que le bug, situé dans la bibliothèque OpenSSL qui sert à chiffrer les données et à sécuriser les transactions en ligne, permet à des pirates de dérober les clés de chiffrage.
Or ce n’est pas parce qu’une bibliothèque du monde « Open-Source » est extrêmement répandue et utilisée qu’elle est pour autant soutenue financièrement. En l’occurrence, OpenSSL n’a reçu que 2000$ de fond en 2013 pour assurer sa maintenance et son développement.

La nouvelle initiative « Core Infrastructure Initiative » a justement pour objectif de financer les projets Open Source qui sont critiques pour le fonctionnement des systèmes informatiques. Une douzaine d’entreprises dont Facebook, Google, Amazon, IBM, VMware, Dell, Cisco, HP, Qualcomm, Rackspace, Fujitsu et Microsoft figurent parmi les membres fondateurs.

La présence de Microsoft peut paraître étonnante. L’entreprise utilise sa propre implémentation de SSL dans ses logiciels et serveurs, implémentation qui ne souffre pas et n’a jamais souffert de cette vulnérabilité. Sa présence est cependant logique. Il est loin le temps où l’éditeur vivait dans sa bulle. L’interopérabilité est au cœur des problématiques des entreprises, la grande majorité des systèmes d’information sont hétérogènes et le Cloud impose un esprit d’ouverture. Heartbleed, directement ou indirectement, affecte les clients Microsoft. Ainsi, Microsoft Azure offre aux entreprises la possibilité d’héberger des machines virtuelles Linux aussi bien que des machines Windows. Or les VM Linux hébergées sous Azure sont bien évidemment concernées par la vulnérabilité Hearbleed.

Chaque entreprise s’est engagée à verser 100.000$ durant les trois prochaines années, ce qui représente un montant global de 4 millions de dollars minimum. L’objectif n’est nullement d’intervenir dans le fonctionnement et la gouvernance des projets Open Source mais de s’assurer que les projets les plus essentiels disposent bien des ressources financières nécessaires à leur évolution. OpenSSL est la première technologie d’infrastructure qui bénéficiera du soutien de cette organisation. Mais d’autres technologies seront identifiées par les membres du comité dans les prochains mois.