A propos des failles d'openSSL

Le
Leger
Bonjour,

Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?

Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.

A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.

Bon week-end.
--
@+
Leger
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Prasutagus
Le #26183752
Le 08/06/2014 09:27, Leger a écrit :
Bonjour,

Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?

Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.

A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.

Bon week-end.




Ici ça parle d'une faille présente depuis 15 ans



--
Ni Gourou Ni Maitre
Jean-Francois Billaud
Le #26183792
On 08/06/2014 09:27, Leger écrivait:

Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?

Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour améliorer.

A mon niveau je ne comprends pas comment quelqu'un peut être autorisé à
toucher à ça?
On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.



Bonjour,

Voir libressl :

http://www.openbsd.org/papers/bsdcan14-libressl/


JFB
Yliur
Le #26184012
Le Sun, 08 Jun 2014 09:27:44 +0200
Leger
Je lisais sur certains sites ce qui se disais sur les failles
d'openSSL. Je ne suis pas informaticien mais c'est si compliqué que
ça openSSL?



Il semblerait.

Ohloh parle par exemple de 400.000 lignes de code (dont 300.000
lignes de C) :
http://www.ohloh.net/p/openssl/analyses/latest/languages_summary

Après je ne sais pas combien de ces lignes correspondent au programme
lui-même plutôt qu'à des outils autour, il me semble avoir vu passer
plutôt 150.000 lignes de code (par les gens d'OpenBSD ?), mais pas sûr.

En tout cas ça en fait quand même un programme pas tout à fait
ridicule, surtout si le niveau de fiabilité est critique.


Il est dit qu'il y a deux ans il n'y avait pas de problème que
c'était une forteresse imprenable.
Et que ces failles sont dû au fait que quelqu'un y a touché pour
améliorer.

A mon niveau je ne comprends pas comment quelqu'un peut être autorisé
à toucher à ça?



Pas quelqu'un qui passerait, venu de nulle part, je pense. Mais il n'y
a sans doute pas 15 développeurs actifs sur le projet. Ça pourrait être
quelqu'un qui est devenu le développeur principal du projet ou qui est
devenu un développeur important du projet, tout à fait officiellement.

Maintenant les gens d'OpenBSD semblent penser que le code d'OpenSSL
c'est globalement de la merde. Bon, peut-être qu'il pensent ça de tout
ce qui sort d'OpenBSD mais ils n'avait pas l'air de dire que c'était
centré sur une poignées de contributions.


On a qu'à revenir dans l'état où était ce programme il y a deux ans.
Bon, en ce qui me concerne ça ne me pose pas de souci à moi.



Des fonctionnalités ont pu être ajoutées, des algos implémentés, ... Je
ne sais pas ce qui a été touché depuis deux ans mais mesurer l'impact
sur ta vie est difficile puisque ça concerne des sites que tu consultes
par exemple, sans que tu saches comment exactement.
ptilou
Le #26184052
Slt,

Dans les années 90 un gus dev de chez AOL, en avait publié une palanqu ées !
Et le paplare disait qu'il restait l'homme du milieu ...
( qui malgré l'open source a ma connaissance et toujours d'actualité )

Ptilou

Le dimanche 8 juin 2014 08:27:44 UTC+1, Leger a écrit :
Bonjour,



Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.

Je ne suis pas informaticien mais c'est si compliquï¿oe que ï¿oea openSSL?



Il est dit qu'il y a deux ans il n'y avait pas de problï¿oeme que c' ï¿oetait une

forteresse imprenable.

Et que ces failles sont dï¿oe au fait que quelqu'un y a touchï¿oe pour amï¿oeliorer.



A mon niveau je ne comprends pas comment quelqu'un peut ï¿oetre autor isï¿oe ï¿oe

toucher ï¿oe ï¿oea?

On a qu'ï¿oe revenir dans l'ï¿oetat oï¿oe ï¿oetait ce pro gramme il y a deux ans.

Bon, en ce qui me concerne ï¿oea ne me pose pas de souci ï¿oe moi .



Bon week-end.

--

@+

Leger
Doug713705
Le #26184122
Le 08-06-2014, ptilou nous expliquait dans
fr.comp.os.linux.debats
(
Slt,

Dans les années 90 un gus dev de chez AOL, en avait publié une palanquées !



Source ?

Et le paplare disait qu'il restait l'homme du milieu ...
( qui malgré l'open source a ma connaissance et toujours d'actualité )



Openssl dans les années 90, ça devait être à la fin des années 90 et au
début d'openssl.

--
La nuit te glace au fond d'un train
Où tu croyais trouver l'oubli
Voyageur des petits matins
Tu rentres de tes insomnies
-- H.F. Thiéfaine, Narcisse 81
Leger
Le #26184722
Le Sun, 08 Jun 2014 09:36:16 +0200, Prasutagus a écrit :

Ici ça parle d'une faille présente depuis 15 ans
<http://www.generation-nt.com/openssl-vulnerabilite-heartbleed-


changecipherspec-actualite-1891172.html>

Merci à tous pour ces réponses.
Malgré tout faut déjà pouvoir exploiter ces genres de failles. Découvrir
des failles c'est une chose mais les exploiter c'est autre chose.

Mais bon si le libre n'est plus sûr, dites moi quand il me faudra
repasser à Windows. :-)

--
@+
Leger
ptilou
Le #26184972
Slt,

Netscape, avec Mosaïque en marier ! ;-D
Fin des années 90 p-tre meme debut 2000 ...
Au fait le fondateur de Netscape a été élu gouverneur ?

Ptilou

Le dimanche 8 juin 2014 11:00:52 UTC+1, Doug713705 a écrit :
Le 08-06-2014, ptilou nous expliquait dans

fr.comp.os.linux.debats

(


> Slt,

>

> Dans les annï¿oees 90 un gus dev de chez AOL, en avait publiï¿o e une palanquï¿oees !



Source ?



> Et le paplare disait qu'il restait l'homme du milieu ...

> ( qui malgrï¿oe l'open source a ma connaissance et toujours d'actua litï¿oe )



Openssl dans les annï¿oees 90, ï¿oea devait ï¿oetre ï¿oe la fin des annï¿oees 90 et au

dï¿oebut d'openssl.



--

La nuit te glace au fond d'un train

Oï¿oe tu croyais trouver l'oubli

Voyageur des petits matins

Tu rentres de tes insomnies

-- H.F. Thiï¿oefaine, Narcisse 81
Kevin Denis
Le #26187362
Le 08-06-2014, Leger
Je lisais sur certains sites ce qui se disais sur les failles d'openSSL.
Je ne suis pas informaticien mais c'est si compliqué que ça openSSL?



Le code, c'est compliqué. Le code sécurisé, c'est compliqué. La
crypto, c'est compliqué.

Il est dit qu'il y a deux ans il n'y avait pas de problème que c'était une
forteresse imprenable.



wut?

A noter, une excellente sur le sujet au SSTIC 2014 là dessus:
https://www.sstic.org/2014/presentation/crpytocoding/
Pas encore de lien, mais si ça sort, c'est à suivre.

C'est une des personnes qui a audité le code de truecrypt.
--
Kevin
Publicité
Poster une réponse
Anonyme