IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le fondateur d'OpenBSD fork OpenSSL pour créer LibreSSL
Le code source de la bibliothèque de chiffrement trop désordonné pour Theo de Raadt

Le , par Hinault Romaric
39 commentaires

17PARTAGES

4  5 
Internet fait face depuis quelques jours à l’une des pires failles de son histoire. La faille Heartbleed, au cœur de la boite à outils de chiffrement open source OpenSSL, permet d’accéder à des données sécurisées par TLS/SSL.

Des milliers de sites Web, des équipements de télécommunications, des plateformes et applications mobiles, ainsi qu’un nombre important de logiciels sont touchés par cette faille, car OpenSSL a été largement adopté par l’industrie.

Cette faille peut cependant sonner le glas de la fin d’OpenSSL, car celui-ci vient d’être victime de l’un des sports favoris des acteurs de l’open source : le fork. La communauté du projet OpenBSD vient d’annoncer la création de LibreSSL, le fork du projet OpenSSL.

Pourquoi créer une nouvelle variante d’OpenSSL, au lieu de contribuer à l’amélioration de la bibliothèque qui est largement utilisée sur Internet ? Pour Theo de Raadt, le fondateur d’OpenBSD, cela se justifierait par le manque de clarté dans le code source d’OpenSSL.

Pour rappel, Heartbleed est due à un petit bug qui était présent dans la branche de développement, et qui est passé outre les mailles du système de validation, ce qui apporte du crédit aux affirmations de Theo de Raadt.

Plus de la moitié du code de la branche principale d’OpenSSL a été nettoyé et le code a été refactorisé pour faciliter la maintenance. Theo de Raadt a déclaré à ZdNet.com que 90 000 lignes de code C et 150 000 lignes de contenu ont été supprimées.

Le code source de base de LibreSSL est disponible sur OpenBSD.org. Son développement est soutenu par la fondation OpenBSD, responsable du développement du système d’exploitation Unix OpenBSD et des projets connexes comme OpenSSH ou encore OpenSMTPD.

LibreSSL est conçu initialement pour être embarqué dans OpenBSD, mais supportera également plusieurs autres systèmes d’exploitation, lorsque son code sera assez stable et facilement maintenable.

La première version de LibreSSL devrait être incluse dans OpenBSD 5.6, dont la publication serait prévue pour novembre de cette année.

Le site de LibreSSL

Et vous ?

Qu’en pensez-vous ? Vers la fin d’OpenSSL ?

Une erreur dans cette actualité ? Signalez-nous-la !

39 commentaires
Commenter Signaler un problème
nirgal76
Avatar de nirgal76
Membre chevronné https://www.developpez.com
Le 24/04/2014 à 0:34
Citation Envoyé par abriotde Voir le message
C'est parce que le fork apporte beaucoup a l'Open-Source, il fait partis de ses forces.

Dans le propriétaire, le fork existe aussi mais le fork qui gagne est celui qui a conquis le chef le plus puissant... c'est pas toujours le meilleurs étant donné que le chef ne se penche jamais sur le fonctionnement interne, sur les conséquences a long terme, il voit ce qu'on lui montre.

Dans l'Open-Source, c'est tout l'inverse, c'est d'abord les développeurs qui vont choisir le plus simple, efficace et logique d'un point de vue technique. Pour finir l'utilisateur va les départager et choisir celui qui lui conviens le mieux, qui est le plus souple / efficace / documenté / sécurisé... Mais parfois les 2 survivront longtemps et apporteront des solutions complémentaires voire créeront une concurrence efficace. Cette concurrence se retrouve certes un peu dans le propriétaire mais c'est bien souvent celui qui a le meilleurs marketing qui gagne (vente lié et autres vente forcé) et il n'y a pas d'échange de bon procédé entre eux, juste une guerre de brevets sur l'interface.
Le fork, c'est aussi sa faiblesse car ça disperse les forces et brouilles les utilisateurs les moins initiés. Trop d'environnement de bureau, trop de suite office trop de tout. "Trop, c'est comme pas assez" comme disait ma grand mère. Sans compter que pour les forks dûs à des querelles, ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée. Le gros problème du libre, c'est les libristes en fait.
9  3 
pmithrandir
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 28/04/2014 à 9:46
Citation Envoyé par Katyucha Voir le message
C'est surtout une belle connerie.... Au lieu de s'allier pour éprouver et permettre à OpenSSL de sortir renforcé de cette expérience, on crée un LibreSSL qui d'après les premières lectures faites, a été épuré de plein de fonctions. Ce n'est pas une solution. Alors certes LibreSSL sera peut être plus sur mais il n'est plus iso fonctionnel. Quel est le gain ? 0
Je ne suis pas d'accord.
Il faut évaluer les fonctions supprimées pour savoir si elles sont utiles ou pas.
Iso-fonctionnel c'est mignon, mais trainer des vieux machins, c'est un cout de dev non négligeable.

La simplification a du bon en général.
5  0 
azias
Avatar de azias
Membre éclairé https://www.developpez.com
Le 24/04/2014 à 9:35
Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH basées sur LibreSSL pour faire tourner LibreOffice en toute sécurité...

Je me pose la même question que celle posée dans l'article: pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer? Est-ce qu'il a fait des propositions qui lui ont été refusées ou est-ce simplement qu'il pense que sa façon de faire est meilleure simplement parce qu'elle vient de lui? Parfois les forks permettent aussi tout simplement de casser la compatibilité avec les anciennes versions.

Pour ne prendre que l'exemple OpenOffice/LibreOffice dont le fork a été fait pour des raisons plus "politiques" que techniques: le grand gagnant de l'opération a incontestablement été Microsoft Office.
4  0 
Paul TOTH
Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 24/04/2014 à 6:44
c'est là qu'on voit que même une solution libre, quand elle occupe une position dominante, représente un danger. Il me semble qu'un faille avait été aussi trouvé dans libupnp qui se retrouve sur un tas d'équipements UPnP.

moi je suis pour la diversité.
3  0 
Zefling
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 23/04/2014 à 16:35
Citation Envoyé par Shuty Voir le message
J'adore, c'est tellement vrai !
En même temps, le fork dans du proprio c'est vachement moins évident, sauf à avoir de problèmes.
4  2 
Squisqui
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 23/04/2014 à 18:43
On est assez loin d'un fork dû à une communauté divisée parce que l'un pife pas l'autre (ffmpeg/libav) ou Google qui s'approprie une techno' (webkit).
De la part de Theo de Raadt, il faut s'attendre à un fork de compét'. La philosophie de l'OpenBSD Foundation est la sécurité à travers des audits, mais aussi une volonté très forte de maintenir un code le plus claire possible.
Les projets OpenSSL/LibreSSL ont beaucoup à gagner à travers cette initiative.
3  1 
goomazio
Avatar de goomazio
Membre chevronné https://www.developpez.com
Le 24/04/2014 à 2:15
Citation Envoyé par nirgal76 Voir le message
ça donne pas une image top du monde "libre" toujours pleins de querelles de cours de récrée
Mais peut-être que ça vient du côté publique du processus de développement du libre. Ça doit se quereller aussi dans le privé.
2  0 
GPPro
Avatar de GPPro
Membre éprouvé https://www.developpez.com
Le 24/04/2014 à 9:13
Citation Envoyé par Shuty Voir le message
J'adore, c'est tellement vrai !

Pour ce qui est de la solution alternative, je suis pressé qu'elle soit stable pour faire un test sur la dev.
J'aurais plutôt mis en avant la partie "sonner le glas de la fin" qui ne veut pas dire ce que le newser voudrait lui faire dire
1  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 24/04/2014 à 10:22
Citation Envoyé par olreak Voir le message
Pour être cohérent il faudrait forker OpenBSD en LibreBSD, qui utilisera des connexions LibreSSH
Oups, openSSH fait partie du projet openBSD...

Citation Envoyé par olreak Voir le message
pourquoi forker au lieu de participer à améliorer le projet existant, à le faire évoluer?
Probablement pour que les release de libreSSL soient calquees sur le modele de celles d'openBSD, c'est a dire que le code est figé bien avant la sortie, pour justement faire des tests et des corrections.
Cela va souvent a l'encontre des autres distributions qui ne figent pas le code, mais se contentent de prendre une version "stable" tout en continuant les dev.

Bref, regarde un peu la philosophie d'openBSD et de Theo de Raadt, les critiques positives et negatives qui sont faites a leur encontre, et tu trouveras pourquoi.
1  0 
gagouze2
Avatar de gagouze2
Membre du Club https://www.developpez.com
Le 23/06/2014 à 16:11
Super Google va faire le jeu de la NSA que l'on vas se retrouver avec une back door pour la NSA

<HS>
Qu'en est que Obama virent les huiles de la CIA NSA et le mettent en Prision vue le nombre de délit commis c'est la perpétuité directe
</HS>
1  0 
Commenter Signaler un problème