C'est pour répondre à la crise déclenchée par la faille Heartbleed, qu'un groupe de grosses entreprises high-tech, dont Amazon Web Services, Cisco, Dell, Facebook, Microsoft et IBM a créé la Core Initiative Infrastructure (CII). La découverte de cette vulnérabilité le mois dernier dans le protocole de chiffrement OpenSSL a déclenché une ruée mondiale : toutes les entreprises devaient à la fois corriger la faille, remplacer les certificats numériques, et changer au plus vite les mots de passe de ce protocole qui sert à sécuriser les serveurs, les logiciels clients, les produits réseaux et de sécurité. Comme elle l'a annoncé hier, la CII ne va pas se limiter à l'audit du code du protocole OpenSSL, mais elle va également vérifier la sécurité de deux autres protocoles également très répandus que sont l'OpenSSH et le Network Time Protocol (NTP). Ce dernier, qui a récemment attiré l'attention des experts en sécurité, est l'objet de certaines préoccupations, car il a permis à des pirates de mener des attaques par déni de service.
Le groupe CII n'a pas révélé le budget qu'il compte consacrer à ces audits de sécurité, mais précise qu'il a levé plus de 5 millions de dollars auprès de ses membres fondateurs. La CII a également fait part de son intention de coordonner ses travaux avec le projet OpenSSL et d'affecter deux développeurs à temps plein à ce travail. Le projet Open Crypto Audit Project devrait également recevoir un financement de la Core Initiative Infrastructure pour mener un audit de sécurité sur le code base du protocole OpenSSL. Hier la CII a également annoncé qu'Adobe, Bloomberg, HP, Huawei et Salesforce.com rejoignaient le groupe initial. La CII a aussi annoncé la mise en place d'un conseil consultatif et d'un comité de direction : ils auront pour tâche d'identifier les projets Open Source « prioritaires ». Parmi les membres de ce conseil consultatif, on trouve Alan Cox, le développeur du kernel Linux ; Matt Green de l'Open Crypto Audit Project ; Dan Meredith de l'Open Technology Fund, un programme de Radio Free Asia ; Eben Moglen du Software Freedom Law Center ; Bruce Schneier du Berkman Center for Internet & Society à la Harvard Law School ; Eric Sears de la Fondation MacArthur et Ted T'so, un développeur système chez Google et membre de la communauté travaillant sur le kernel Linux.
Jim Zemlin, directeur exécutif de la Linux Foundation a déclaré : « Tout développement logiciel a besoin de logiciel et de financement. Le logiciel Open Source ne fait pas exception. Il justifie un niveau de support à hauteur du rôle dominant qu'il joue aujourd'hui dans l'infrastructure globale ». Selon lui, la Core Initiative Infrastructure va permettre de « passer des réponses réactives, de crise, à des mesures et à des méthodes proactives pour identifier et financer les projets qui ont besoin de soutien ».
La Core Initiative Infrastructure se penche sur la sécurité d'OpenSSL, OpenSSH, et NTP
1
Réaction
Hier, dans le cadre de la Core Initiative Infrastructure (CII), la Fondation Linux a donné la liste des premiers protocoles qu'elle souhaite tester. La fondation va passer au crible les codes Open Source, pour vérifier notamment leur sécurité. Sans surprise, OpenSSL, dans lequel a été découverte la faille Heartbleed, est en tête de cette première série.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
On rappellera qu'OpenSSL est chapeauté par des européens, essentiellement allemand et anglais (http://www.openssl.org/about/). Donc payer des devs de la fondation Linux, dont ce n'est pas le boulot, au lieu de financer les devs européens légitimes sur le projet, est une manoeuvre qui ressemble fortement à un noyautage en règle du projet. J'espére bien entendu me tromper.
Signaler un abus