En réaction à Heartbleed, la faille d'OpenSSL qui vient d'affecter de très nombreux systèmes d'information et sites web dans le monde, 13 acteurs de l'informatique, dont Google, IBM, Microsoft, Intel, VMware et Facebook, soutiennent une démarche de la Fondation Linux visant à renforcer les projets Open Source considérés comme primordiaux pour l'industrie. Ils apportent à la fois leur soutien financier et leur expertise. La « Core Infrastructure Initiative » représentera un financement de plusieurs millions de dollars, indique la Fondation Linux sur son site.
« Nous étendons le travail que nous faisons déjà pour le noyau Linux à d'autres projets qui pourraient avoir besoin de support », explique notamment Jim Zemlin, directeur exécutif de la Fondation Linux, qui rappelle -si besoin était- que les systèmes d'information au niveau mondial reposent sur de nombreux projets Open Source.
OpenSSL au 1er rang des priorités
Comme on pouvait s'y attendre, OpenSSL est le projet qui figure en haut de ses priorités. La faille découverte au début du mois dans la bibliothèque de chiffrement, utilisée par des millions de sites web pour chiffrer leurs communications via SSL (Secure Sockets Layer) et TLS (Transport Layer Security), a plongé l'ensemble de l'industrie informatique dans l'urgence. Tous les fournisseurs ont l'un après l'autre publié des correctifs et continuent à travailler d'arrache-pied pour corriger ceux de leurs produits qui prêtent encore le flanc à la vulnérabilité. Si elle est exploitée, la faille permet à un attaquant de voler des données sensibles sur les systèmes affectés, tels que les identifiants des comptes et les mots de passe. En début de semaine, les 1 000 premiers sites web au niveau mondial avaient été patchés mais un certain nombre d'autres sites devaient encore appliquer des correctifs.
Les projets Open Source comme OpenSSL sont élaborés par des communautés de développeurs volontaires et les équipes qui travaillent à plein temps sur ces logiciels sont souvent réduites. C'était le cas avec OpenSSL. La Fondation Linux explique que la bibliothèque de chiffrement pourra recevoir des fonds pour que les développeurs clés et d'autres ressources puissent en améliorer la sécurité. AWS, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMware ont déjà rejoint la Core Infrastructure Initiative.