OpenSSL est une boîte à outils open-source dédiée au chiffrement. Vous l’utilisez donc, de manière transparente, lors de votre surf mais également dans certaines applications pour smartphone qui se connectent sur un site Web/serveur.

Et OpenSSL, comme tout ce qui relève de l’informatique et plus généralement ce qui est créé par l’Homme, peut contenir des failles diverses et variées. Ces failles ayant pour conséquence par exemple de permettre l’interception d’informations par des tiers. Par “informations” je ne parle pas seulement de votre email et mot de passe FaceBook mais par exemple d’un numéro de CB etc. La faille la plus connue, de nom du moins, est HeartBleed mais ce n’est pas la seule ayant concerné ce projet.

Quoiqu’il en soit le projet est tellement usité (sur tous les systèmes d’exploitation) qu’il est bien maintenu à jour et que les failles révélées sont très rapidement patchées. D’où l’importance de faire vos mises à jour régulièrement des applications Android par exemple mais aussi et surtout de vos serveurs, vos PC, NAS etc.

 

 

Voici une application Android, Bluebox OpenSSL Scanner, qui permet de révéler la version d’OpenSSL utilisée par vos applications. Utile pour voir si leurs développeurs sont “sérieux” et les mettent à jour en fonction des patches. Par exemple Tune In n’est pas à jour, ce qui implique un potentiel risque de fuite de données si vous l’utilisez avec un compte enregistré…

 

Certes ça ne corrigera pas le problème mais c’est une bonne source d’information pour faire un tri dans vos applications ou “inciter” des développeurs à se sortir les doigts.

 

La capture n’est pas de moi. Et je suis heureux de ne pas jouer à ce genre de jeux…

 

 

 

 

 

 

 

Mots clés

• Android
• openssl
• sécurité
• ssl