Google annonce l’arrivée de son fork baptisé BoringSSL. La firme de Mountain View a cependant précisé que cette nouvelle implémentation sera essentiellement destinée à un usage interne.
Utilisé en interne
Alors qu’OpenSSL vient d’être la victime d’une faille sans précédent, Google, qui l’utilise depuis plusieurs années, a annoncé la mise en place d’un fork maison baptisé provisoirement BoringSSL. Cette décision n’est cependant pas liée à ce problème de vulnérabilité de la bibliothèque de chiffrement Open Source, mais à la complexité de la gestion des patchs que la firme de Mountain View applique à chacune des nouvelles moutures d’OpenSSL.
Adam Langley, ingénieur logiciel chez le géant du Web, explique que Google utilisait son propre lot de correctifs à chaque mise à jour de la bibliothèque de chiffrement dans le but d’en optimiser le fonctionnement ou de l’adapter à ses produits. Le problème est que seule une partie de ces patchs peuvent être reversés dans le code d’OpenSSL, le reste ne cadrant pas avec les garanties de stabilité des API et ABI ou étant trop expérimental.
Selon Adam Langley, la décision de « forker » la bibliothèque de chiffrement s’impose d’elle-même, car le maintien des patchs (au nombre de 70 pour Android et Chrome) et la vérification de compatibilité sont devenus trop lourds. Google change donc de modèle et va désormais porter ses patchs sur BoringSSL pour sécuriser les transactions SSL/TLS au sein de ses produits. L’ingénieur précise cependant que l’entreprise n’a pas l’intention de concurrencer OpenSSL, dont elle en importera les nouveautés qui l’intéresseront. Google continuera par ailleurs à envoyer ses correctifs au projet Open Source initial.
Communication avec LibreSSL
Adam Langley ajoute dans son billet que Google va collaborer avec l’autre version libre d’OpenSSL, LibreSSL. Les contributions importantes apportées dans le fork d’OpenBSD Foundation seront ainsi intégrées dans BoringSSL et vice-versa. Google va également continuer à soutenir l’initiative Core Infrastructure, initiative lancée fin mai par la Linux Foundation, qui réunit de grands noms de l’informatique dont comme Apple, Intel, Amazon, Dell et Facebook.
Ce projet a été mis en place à la suite de l’identification de la faille dans OpenSSL pour financer les efforts de sécurisation des protocoles les plus utilisés dont OpenSSL, OpenSSH et NTP.
Pour rappel, la faille de sécurité identifiée dans la bibliothèque de chiffrement le 7 avril dernier est considérée comme l’une des plus importantes qu’Internet a connu. En effet OpenSSL, symbolisé par le petit cadenas en haut du navigateur, est un outil Open Source largement utilisé pour sécuriser les communications entre un PC et un serveur.
C’est notamment un gage de sécurité dans le paiement en ligne. La faille touche précisément l’extension Heartbeat d’OpenSSL qui crée une communication longue durée entre un PC et un serveur. Baptisée Heartbleed, elle permet de récupérer à distance le contenu de la mémoire d’un serveur vulnérable qui renvoie plus de données qu’il n’en faut aux clients. Or dans ces données en trop, il peut y avoir des données sensibles comme des mots de passe.
