Association

L'industrie IT mondiale se regroupe pour éviter un nouvel Heartbleed

par Maryse Gros / LeMondeInformatique.fr

Eviter qu'un nouvel Heartbleed ne cause davantage de dégâts. C'est ce qui a conduit les principaux acteurs de l'industrie informatique mondiale à se regrouper au sein de l'initiative Core Infrastructure supportée par la fondation Linux. Parmi eux Microsoft, IBM, Google, Facebook et VMware.

Blutendes Herz (Quelle: Screenshot von heartbleed.com)
Blutendes Herz (Quelle: Screenshot von heartbleed.com)

En réaction à Heartbleed, la faille d'OpenSSL qui vient d'affecter de très nombreux systèmes d'information et sites web dans le monde, 13 acteurs de l'informatique, dont Google, IBM, Microsoft, Intel, VMware et Facebook, soutiennent une démarche de la Fondation Linux destinée à renforcer les projets Open Source considérés comme primordiaux pour l'industrie. Ils apportent à la fois leur soutien financier et leur expertise. La «Core Infrastructure Initiative» représentera un financement de plusieurs millions de dollars, indique la Fondation Linux sur son site.

«Nous étendons le travail que nous faisons déjà pour le noyau Linux à d'autres projets qui pourraient avoir besoin de support», explique notamment Jim Zemlin, directeur exécutif de la Fondation Linux, qui rappelle -si besoin était- que les systèmes d'information au niveau mondial reposent sur de nombreux projets Open Source.

OpenSSL au 1er rang des priorités

Comme on pouvait s'y attendre, OpenSSL est le projet qui figure en haut de ses priorités. La faille découverte au début du mois dans la bibliothèque de chiffrement, utilisée par des millions de sites web pour chiffrer leurs communications via SSL (Secure Sockets Layer) et TLS (Transport Layer Security), a plongé l'ensemble de l'industrie informatique dans l'urgence. Tous les fournisseurs ont l'un après l'autre publié des correctifs et continuent à travailler d'arrache-pied pour corriger ceux de leurs produits qui prêtent encore le flanc à la vulnérabilité. Si elle est exploitée, la faille permet à un attaquant de voler des données sensibles sur les systèmes affectés, tels que les identifiants des comptes et les mots de passe.

Les projets Open Source comme OpenSSL sont élaborés par des communautés de développeurs volontaires et les équipes qui travaillent à plein temps sur ces logiciels sont souvent réduites. C'était le cas avec OpenSSL. La Fondation Linux explique que la bibliothèque de chiffrement pourra recevoir des fonds pour que les développeurs clés et d'autres ressources puissent améliorer la sécurité. AWS, Cisco, Dell, Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Qualcomm, Rackspace et VMware ont déjà rejoint la Core Infrastructure Initiative.

www.LeMondeInformatique.fr

Kommentare

« Plus