Une fragilité tentant de porter atteinte à la confidentialité des données a été aperçue dans les versions 1.0.2x de la bibliothèque de chiffrement OpenSSL. Les consommateurs de ces versions doivent faire une mise à jour vers la version 1.0.2r.

Le Cert-fr relaie l’état d’une vulnérabilité, de raideur modérée, dans les versions d’OpenSSL 1.0.2x précurseur à la 1.0.2r. La bibliothèque open source de chiffrement est très amplement utilisée par les développeurs pour mettre en œuvre le protocole de communication rassurée TLS et son prédécesseur SSL. Consignée sous la référence CVE-2019-1559, la faille permettrait à un attaquant, dans certaines conditions, de porter atteinte à la confidentialité des données.

Découverte par plusieurs développeurs, cette fragilité a été révélée le 10 décembre dernier au groupe de OpenSSL. Les habitués des versions 1.0.2 – dont le support s’arrête le 31 décembre 2019 – doivent faire une mise à jour vers 1.0.2r. En revanche, la faille n’impacte pas les versions 1.1.1 et 1.1.0 de la bibliothèque. Sur son site, OpenSSL en bénéficie pour rappeler que le support de la version 1.1.0 s’arrête le 11 septembre prochain et que ses clients doivent mettre à jour vers 1.1.1.

20 ans d’existence pour OpenSSL

La bibliothèque open source a célébré ses 20 années d’existence en décembre 2018. Les versions 1.0.2r et 1.1.1b d’OpenSSL sont prêt pour téléchargement sur le site du projet.

On se souvient qu’en avril 2014, une fissure critique, nommée par la suite Heartbleed, avait été découverte dans OpenSSL et précipitamment exploitée par des pirates sur des sites web. Le problème avait mis en émoi pendant plusieurs semaines la communauté des développeurs et les fournisseurs de technologie, ces derniers ayant dû apporter en urgence des correctifs pour leurs logiciels et serveurs. Pour échapper qu’un nouvel Heartbleed ne se produise, autres grands noms du secteur tech – dont Microsoft, IBM, Google, VMWare et Facebook – ont dans la foulée apporté leur soutien financier et leur expertise à l’initiative Core Infrastructure de la Fondation Linux pour affermir la sécurité des projets Open Source les plus délicats.