En début de semaine, le projet OpenSSL avait annoncé pour aujourd'hui la publication d'une mise à jour afin de corriger dans la bibliothèque de chiffrement éponyme un bug de sécurité à l'indice de gravité élevé. Une pré-annonce toujours anxiogène lorsqu'on touche à une telle technologie largement utilisée pour les communications Internet chiffrées (HTTPS via SSL / TLS).
On apprend que ledit bug de sécurité avait été rapporté le 24 juin 2015 par le projet BoringSSL qui est un fork d'OpenSSL développé par Google. Le correctif a également été confectionné par BoringSSL. L'exploitation de la vulnérabilité permet à un attaquant avec un certificat TLS non sûr de se faire passer pour une autorité de certification et ainsi espionner un autre site.
Un membre de l'équipe de développement d'OpenSSL a confié à ThreatPost que le patch nécessite une ligne de code. Il ajoute que le méchant bug affecte quiconque a installé les publications d'OpenSSL de juin et " concerne relativement peu d'entreprises ". Il juge son impact faible et aucun rapport d'une exploitation active n'a été signalé.
Nous sommes a priori loin de la panique qu'avait pu susciter Heartbleed.