OpenSSL

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
OpenSSL
Développeur The OpenSSL Project
Dernière version 1.0.1g (le 7 avril 2014,
il y a 13 jours
)
[+/-]
Environnements Multiplate-forme
Type Bibliothèque logicielle
Licence Licence BSD
Site web www.openssl.org

OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques (libcrypto fournit les algorithmes cryptographiques, libssl implémente le protocole SSL) et une interface en ligne de commande (openssl).

Les bibliothèques (qui sont écrites en langage C) implémentent les fonctions basiques de cryptographie et fournissent un certain nombre de fonctions utiles. Grâce aux wrappers, il est possible de les utiliser dans une grande variété de langages informatiques.

Les paramètres de l'outil en ligne de commande openssl sont très nombreux ; ils permettent entre autres de choisir l'un des nombreux types de chiffrement (Blowfish, DES ou Triple DES, DSA, RC4, RC5, RSA…), d'encodage (base64…) ou de hachage (MD5, SHA-1…).

Cet utilitaire et les bibliothèques associées sont disponibles pour la plupart des Unix dont Linux et Mac OS X, mais aussi pour Microsoft Windows, DOS et OpenVMS. Le support des cartes accélératrices câblées est intégré à la branche principale depuis la version 0.9.7.

OpenSSL, qui est basé sur SSLeay de Eric Young et Tim Hudson, est distribué selon les termes d'une double licence de type BSD[1].

Heartbleed[modifier | modifier le code]

Article détaillé : Heartbleed.

Le 7 avril 2014, la société de sécurité CODENOMICON Defensics découvre la très importante faille Heartbleed[2],[3] qu'elle dévoile à travers le site dédié[2]. La faille permettrait de récupérer le contenu de la mémoire du serveur, entre autre des messages sécurisés (par exemple des transactions bancaires), mais aussi des clés de chiffrement SSL primaires et secondaires elles-mêmes, en ne laissant aucune trace numérique[4]. Les certificats de sécurité seraient aussi mis en danger, puisque des pirates pourraient les intercepter et s'en servir même après que les sites aient réparé la faille[5]. De nombreux sites internet grand public, entre autres Wikipédia, Google, Dropbox, Yahoo! et Flickr, sont affectés et recommandent à leurs utilisateurs de ne pas se connecter à leurs services le temps que des mises à jours soient effectuées[6][7].

Bibliographie[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. (en) OpenSSL: Source, License
  2. a et b (en) « The Heartbleed Bug », sur Heartbleed (consulté le 9 avril 2014)
  3. (en) « TLS heartbeat read overrun (CVE-2014-0160) », sur Openssl.org,‎ 7 avril 2014 (consulté le 9 avril 2014)
  4. (en) Steven J. Vaughan-Nichols, « Heartbleed: Serious OpenSSL zero day vulnerability revealed », sur Znet,‎ 7 avril 2014 (consulté le 9 avril 2014)
  5. Martin Untersinger, « Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ? », sur Le Monde,‎ 9 avril 2014 (consulté le 9 avril 2014)
  6. (en) Zack Whittaker, « Heartbleed bug affects Yahoo, OKCupid sites; users face losing passwords », sur Znet,‎ 8 avril 2014 (consulté le 9 avril 2014)
  7. http://www.rtbf.be/info/medias/detail_heartbleed-quels-mots-de-passe-faut-il-changer?id=8245290

Voir aussi[modifier | modifier le code]

Sur les autres projets Wikimedia :

Autres bibliothèques[modifier | modifier le code]

Article connexe[modifier | modifier le code]

Liens externes[modifier | modifier le code]