Une erreur dans le code source de la bibliothèque GnuTLS - un ensemble de lignes de code utilisé dans les principales distributions Linux pour gérer des connexions Internet sécurisées - pourrait s'avérer une grave menace pour la vie privée des utilisateurs de systèmes Linux, tant que les développeurs n'auront pas patché la vulnérabilité.

Nikos Mavrogiannopolous, le développeur à l'origine de GnuTLS, a annoncé lundi dans un message sur une liste de diffusion Gmane qu'il avait mis en place un correctif pour le code source bloquant la faille. Cette dernière aurait permis à un hacker de contourner le système de vérification de certificats de GnuTLS et d'intercepter les données échanger sur les connexions sécurisées. En créant un type spécifique de faux certificat, un hacker pourrait tromper GnuTLS et lui faire accepter comme authentique une connexion loin d'être sécurisée. Ainsi fait, le pirate pourrait intercepter tout le trafic s'écoulant à travers la connexion, et même modifier le code de GnuTLS ce qui pourrait ouvrir de nouvelles possibilités d'attaque.

Un bug très embarrassant

N. Mavrogiannopolous, qui a qualifié le bogue « d'embarrassant », a déclaré que le problème a été découvert lors d'un audit effectué pour le compte de son employeur Red Hat. Certaines distributions Linux majeures ont déjà pris des mesures pour appliquer le correctif de M. Mavrogiannopolous, selon un bulletin de sécurité publié par LWN.net. Les distributions Ubuntu, Debian, Fedora, Red Hat, Oracle, Slackware et Suse ont déjà toutes déployé des mises à jour visant à combler cette faille.

Cette mise à jour arrive quelques jours après qu'Apple ait corrigé un problème similaire, qui avait aussi exposé les utilisateurs d'iOS et de Mac OS X à des attaques de type man-in-the-middle.