OpenSSL

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
OpenSSL
Développeur The OpenSSL Project
Dernière version 1.0.1h (le 5 juin 2014,
il y a 45 jours
)
[+/-]
Environnements Multiplate-forme
Type Bibliothèque logicielle
Licence Double licence : OpenSSL License (Licence Apache 1.0) et SSLeay License (licence BSD clause 4)
Site web www.openssl.org

OpenSSL est une boîte à outils de chiffrement comportant deux bibliothèques (libcrypto fournit les algorithmes cryptographiques, libssl implémente le protocole Transport Layer Security (TSL) et son prédécesseur Secure Sockets Layer (SSL)) et une interface en ligne de commande (openssl).

Développée en C, OpenSSL est disponible sur les principaux systèmes d'exploitation et dispose de nombreux wrappers ce qui la rend utilisable dans une grande variété de langages informatiques. En 2014, deux tiers des sites Web l'utilisait [1].

Histoire[modifier | modifier le code]

Basé sur la biblithèque SSLeay de Eric A. Young et Tim J. Hudson [2], le projet voit le jour en 1998 dans le but de mettre à la disposition de tous des outils libres pour le chiffrement.

Image illustrant la faille de sécurité Heartbleed

Bien que massivement utilisée, la bibliothèque est peu médiatisée en dehors de la communauté informatique. Cela change en avril 2014 suite à la révélation d'une vulnérabilité majeure, Heartbleed qui permet de récupérer le contenu de la mémoire du serveur sans laisser aucune trace numérique [3],[4]. Du fait de sa très grande utilisation, de nombreux sites internet grand public, entre autres Wikipédia, Google, Dropbox, Yahoo! et Flickr, sont affectés et recommandent à leurs utilisateurs de ne pas se connecter à leurs services le temps que des mises à jours soient effectuées[5]. De nouvelles failles, de moindres importances que Hearthbleed, sont rendues publiques en juin de la même année. Les annonces et l'importance de ces failles ont permis de révéler plusieurs problèmes dans la qualité du code et ont poussé des développeurs du projet OpenBSD à forker OpenSSL en LibReSSL [6]. Quelques mois plus tard, Google annonce avoir fait de même, mais pour des raisons de facilité de maintenance car elle l'utilise dans ses projets Chrome et Android [7], [8].

Versions[modifier | modifier le code]

Historique des versions majeures de OpenSSL
Version Date de sortie Commentaire Dernière version mineure
0.9.1 23 décembre 1998 Lancement du projet 0.9.1c (23 décembre 1998)
0.9.2 22 mars 1999 0.9.2b (6 avril 1999)
0.9.3 25 mai 1999 0.9.3a (27 mai 1999)
0.9.4 9 août 1999 0.9.4 (9 août 1999)
0.9.5 0.9.5a (1er avril 2000)
0.9.6 24 septembre 2000 0.9.6m (17 mars 2004)
0.9.7 31 décembre 2002 support des cartes accélératrices matérielles 0.9.7m (23 février 2007)
0.9.8 5 juillet 2005 0.9.8za (5 juin 2014)
1.0.0 29 mars 2010 1.0.0m (5 juin 2014)
1.0.1 14 mars 2012 1.0.1h (5 juin 2014)
1.0.2 24 février 2014 (beta) 1.0.2 Beta 1 (24 février 2014)
  •      Ancienne version, non supportée
  •      Ancienne version, correctifs de sécurité uniquement
  •      Version actuelle, améliorations et correctifs de sécurité
  •      Version future

Algorithmes[modifier | modifier le code]

OpenSSL supporte un grand nombre de :

AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89
MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94
RSA, DSA, Diffie-Hellman, courbe elliptique, GOST R 34.10-2001

Bibliographie[modifier | modifier le code]

Notes et références[modifier | modifier le code]

  1. Dan Goodin, « Critical crypto bug in OpenSSL opens two-thirds of the Web to eavesdropping », sur arstechnica.com, Ars Technica,‎ avril 2014 (consulté le 6 juillet 2014)
  2. « About the OpenSSL Project », sur www.openssl.org (consulté le 6 juillet 2014)
  3. (en) « The Heartbleed Bug », sur Heartbleed (consulté le 9 avril 2014)
  4. (en) « TLS heartbeat read overrun (CVE-2014-0160) », sur Openssl.org,‎ 7 avril 2014 (consulté le 9 avril 2014)
  5. (en) Zack Whittaker, « Heartbleed bug affects Yahoo, OKCupid sites; users face losing passwords », sur Znet,‎ 8 avril 2014 (consulté le 9 avril 2014)
  6. Larry Seltzer, « OpenBSD forks, prunes, fixes OpenSSL », sur www.zdnet.com,‎ avril 2014 (consulté le 6 juillet 2014)
  7. Adam Langley, « BoringSSL », sur www.imperialviolet.org,‎ juin 2014 (consulté le 6 juillet 2014)
  8. Dan Goodin, « Google unveils independent “fork” of OpenSSL called “BoringSSL” », sur arstechnica.com, Ars Technica,‎ juin 2014 (consulté le 6 juillet 2014)

Voir aussi[modifier | modifier le code]

Sur les autres projets Wikimedia :

Autres bibliothèques[modifier | modifier le code]