Après avoir connu de sérieuses déconvenues -en 2014 avec la faille de sécurité Heartbleed puis en 2015 avec une autre Freak - OpenSSL Project vient d'apporter un correctif pour un problème détecté dans sa librairie de chiffrement. Un problème sans commune mesure en termes de gravité avec les deux précédentes vulnérabilités et n'affectant pas la plupart des applications ayant implémenté la célèbre boite à outil open source permettant d'implémenter une brique de chiffrement SSL et TLS.
OpenSSL est embarqué dans les serveurs web Apache et Nginx, sachant que sa librairie de chiffrement est également utilisée pour protéger des serveurs de messagerie, de chat, réseaux privés virtuels et d'autres appliances réseaux.
Des mises à jour disponibles
La librairie en question est très largement utilisée dans des applications pour sécuriser des transferts de données et la vulnérabilité concerne les versions 1.0.1 et 1.0.2 d'OpenSSL, sachant que des mises à jour 1.0.1.r et 1.0.2f ont été proposées. Dans certains cas, OpenSSL réutilise des nombres premiers quand le protocole Diffie-Hellman est utilisé, ce qui pourrait permettre à un attaquant de casser le chiffrement. Mais il faut pour cela que ce dernier effectue de multiples handshakes (authentification, hachage et échange de clés symétriques) avec l'ordinateur qu'il tente de compromettre.
Cependant, l'option qui réutilise des nombres premiers n'est pas activée par défaut, et la plupart des applications ne sont sans doute pas exposées si cette option n'a pas été changée, selon une note de sécurité d'OpenSSL Project.