Douze failles de sécurité découvertes dans OpenSSL par une analyse basée sur l’IA
AISLE a identifié douze nouvelles vulnérabilités de sécurité dans OpenSSL à l’aide d’un système d’analyse reposant sur l’IA. Une approche qui permet d’analyser en profondeur des bases de code complexes, là où les méthodes d’audit traditionnelles montrent leurs limites. Les failles ont été corrigées dans le cadre d’une publication de sécurité coordonnée, avec des correctifs désormais disponibles.
La société de cybersécurité AISLE indique avoir identifié douze nouvelles vulnérabilités dans OpenSSL. Les failles ont été corrigées dans le cadre d’une publication de sécurité coordonnée du projet OpenSSL, avec des correctifs désormais disponibles pour les versions prises en charge.
Composant central de nombreuses infrastructures numériques, OpenSSL est téléchargé plus de 15 millions de fois par an et utilisé par une large majorité des organisations informatiques, notamment au sein des systèmes d’exploitation, des plateformes cloud, des applications d’entreprise et des équipements réseau. Des vulnérabilités à ce niveau peuvent ainsi avoir des effets en cascade sur un grand nombre de produits et de services.
Selon AISLE, les vulnérabilités affectent plusieurs composants d’OpenSSL et couvrent différents scénarios. L’une d’elles, référencée CVE-2025-15467, est classée de sévérité élevée et pourrait, dans certaines conditions, permettre une exécution de code à distance. Les onze autres vulnérabilités se répartissent entre un niveau de sévérité modéré et des failles de faible gravité, pouvant notamment entraîner des dénis de service, des corruptions mémoire ou des crashs applicatifs. OpenSSL et AISLE recommandent aux utilisateurs de déployer rapidement les mises à jour.
Des failles découvertes dans un code largement audité
Les experts soulignent que certaines vulnérabilités corrigées étaient présentes dans le code d’OpenSSL depuis de nombreuses années, malgré les audits réguliers dont bénéficie la bibliothèque. OpenSSL est considéré comme l’un des projets open source les plus examinés au monde, ce qui rend la découverte de nouvelles failles particulièrement rare.
Les failles concernent plusieurs sous-systèmes, notamment la gestion des certificats, les formats PKCS#12 et PKCS#7, le protocole QUIC, certaines fonctionnalités de chiffrement matériel ainsi que des mécanismes liés aux signatures post-quantiques.
Selon AISLE, ces résultats mettent en lumière les limites des approches d’audit traditionnelles face à des bases de code anciennes et complexes, pour lesquelles une analyse exhaustive devient difficile à mener par des méthodes humaines.
Une détection appuyée par l’intelligence artificielle
AISLE explique que l’ensemble des douze vulnérabilités a été détecté à l’aide d’un système d’analyse reposant sur l’intelligence artificielle, puis validé par son équipe de recherche. Les travaux ont débuté en août 2025.«Même des bases de code matures et largement auditées peuvent contenir des failles de sécurité à mesure que la complexité logicielle augmente», souligne Stanislav Fort, cofondateur et scientifique en chef d’AISLE. Il précise que l’approche basée sur l’IA vise à compléter les méthodes d’analyse traditionnelles.
En parallèle, AISLE indique avoir identifié plusieurs anomalies supplémentaires qui ont été corrigées avant toute mise à disposition publique du code concerné, évitant ainsi leur exposition aux utilisateurs.
Les détails techniques, les versions concernées et les correctifs sont disponibles dans l’avis de sécurité officiel publié par OpenSSL.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
