blog

Suivez nous sur les réseaux sociaux

  • Accueil
  • Nos Formations
  • Nos tutoriels
  • Forum
  • Les rédacteurs
  • Nous contacter
/ Accueil / BoringSSL : le fork d’OpenSSL signé Google
Print Email Shortlink

BoringSSL : le fork d’OpenSSL signé Google

Par felix le 26 juin 2014 dans Actualité, Google, Sécurité

148097

Google annonce l’arrivée de son fork baptisé BoringSSL. La firme de Mountain View a cependant précisé que cette nouvelle implémentation sera essentiellement destinée à un usage interne.

Utilisé en interne

Alors qu’OpenSSL vient d’être la victime d’une faille sans précédent, Google, qui l’utilise depuis plusieurs années, a annoncé la mise en place d’un fork maison baptisé provisoirement BoringSSL. Cette décision n’est cependant pas liée à ce problème de vulnérabilité de la bibliothèque de chiffrement Open Source, mais à la complexité de la gestion des patchs que la firme de Mountain View applique à chacune des nouvelles moutures d’OpenSSL.

Adam Langley, ingénieur logiciel chez le géant du Web, explique que Google utilisait son propre lot de correctifs à chaque mise à jour de la bibliothèque de chiffrement dans le but d’en optimiser le fonctionnement ou de l’adapter à ses produits. Le problème est que seule une partie de ces patchs peuvent être reversés dans le code d’OpenSSL, le reste ne cadrant pas avec les garanties de stabilité des API et ABI ou étant trop expérimental.

Selon Adam Langley, la décision de « forker » la bibliothèque de chiffrement s’impose d’elle-même, car le maintien des patchs (au nombre de 70 pour Android et Chrome) et la vérification de compatibilité sont devenus trop lourds. Google change donc de modèle et va désormais porter ses patchs sur BoringSSL pour sécuriser les transactions SSL/TLS au sein de ses produits. L’ingénieur précise cependant que l’entreprise n’a pas l’intention de concurrencer OpenSSL, dont elle en importera les nouveautés qui l’intéresseront. Google continuera par ailleurs à envoyer ses correctifs au projet Open Source initial.

 

Communication avec LibreSSL

Adam Langley ajoute dans son billet que Google va collaborer avec l’autre version libre d’OpenSSL, LibreSSL. Les contributions importantes apportées dans le fork d’OpenBSD Foundation seront ainsi intégrées dans BoringSSL et vice-versa. Google va également continuer à soutenir l’initiative Core Infrastructure, initiative lancée fin mai par la Linux Foundation, qui réunit de grands noms de l’informatique dont comme Apple, Intel, Amazon, Dell et Facebook.

Ce projet a été mis en place à la suite de l’identification de la faille dans OpenSSL pour financer les efforts de sécurisation des protocoles les plus utilisés dont OpenSSL, OpenSSH et NTP.

Pour rappel, la faille de sécurité identifiée dans la bibliothèque de chiffrement le 7 avril dernier est considérée comme l’une des plus importantes qu’Internet a connu. En effet OpenSSL, symbolisé par le petit cadenas en haut du navigateur, est un outil Open Source largement utilisé pour sécuriser les communications entre un PC et un serveur.

C’est notamment un gage de sécurité dans le paiement en ligne. La faille touche précisément l’extension Heartbeat d’OpenSSL qui crée une communication longue durée entre un PC et un serveur. Baptisée Heartbleed, elle permet de récupérer à distance le contenu de la mémoire d’un serveur vulnérable qui renvoie plus de données qu’il n’en faut aux clients. Or dans ces données en trop, il peut y avoir des données sensibles comme des mots de passe.

felix
View all posts by felix
Felix's website
Partager sur: Mixx Delicious Digg Facebook Twitter
googlesecuritéssl
  • Articles Similaires
  • Les + populaires
  • PowerPoint embarque Designer et Morph
  • Parlez-vous Caml ?
  • OnlyOffice tous azimuts
  • Dell développe les HPC
  • Linutop lance le Linutop XS !
  • App Annie lance ASO
  • Le toolkit v1.1 Windows Azure pour Social Games est enfin disponible
  • GWT 2.5 et plus si affinités
  • Google Drive enfin disponible !
  • Google Chrome débarque sur Android 4
  • Android Market devient Google Play
  • Google Swiffy met la seconde
← Previous Next →

Prochaines formations

Promotions sur nos prochaines formations remisées :

iPhone iPad développement avancé du 11 au 14 Aout - 1100 euros HT

Formation Xamarin développement - 11 au 14 Aout 1800 euros HT

Formation Introduction à la programmation -17 au 19 septembre 2014 - 750 HT

Formation Android - 11 au 14 Aout - 1100 euros HT

Formation Python du 15 au 18 Juillet 2014 - 800 euros HT




Toutes nos promotions ...

Edito du 21 Janvier

Bonjour et bienvenue à tous sur notre blog

Tout d'abord nos meilleurs voeux à vous, nous espérons que cette année vous apporte le meilleur.

2013 a été une excellente année pour Mistra Formation, nous avons doublé notre nombre de formations, nous avons dépassé les 1000 visiteurs uniques par jour et pour tout cela: MERCI.

Pour 2014, nous allons investir de nouveau: le nouveau site internet arrive, de nombreux tutoriels sont en marche et nous passons à 3 rédacteurs pour notre blog.

Côté formations, n'hésitez pas à découvrir nos nouveautés 2014: Sharepoint 2010, Windows 8 ou encore NodeJS.

Comme toujours, n'hésitez pas à nous donner votre avis sur les réseaux sociaux ou sur notre forum.

A très bientôt

L'équipe Mistra

Rechercher

  • Formations Java
  • Formations Mobiles
  • Formations Linux
  • Formation Ext JS
  • Formation HTML5
  • Formation Symfony 2
  • Formation iPhone / iPad
  • Annuaire RSS

Copyright © 2022 Mistra Blog.

Powered by WordPress and News.