BoringSSL, l’OpenSSL sans ennuis pour Google ?

L’affaire Heartbleed aura pointé du doigt sous un jour peu enviable l’OpenSSL, l’implémentation libre des protocoles SSL et TLS. Accusé d’être porteur d’une immense faille ayant potentiellement touché des centaines de milliers de serveurs, l’OpenSSL a perdu beaucoup de son aura héritée du libre, et qui le désignait comme l’un des boucliers de la sécurité d’internet, le protocole étant souvent utilisé lors de la validation de donnée bancaire ou pour des achats sur la toile. Actant les soucis de gestion et de support de ce bout de code devenu au fil du temps très complexe, Google s’est donc décidé à forker l’OpenSSL d’origine pour se tailler sur mesure un gestionnaire de protocole réseau adapté à ses propres solutions.

Visiblement, ce projet interne de refonte de l’OpenSSL initial n’enchante pas les équipes qui en ont la charge chez Google, qui l’ont même rebaptisé pour l’occasion BoringSSL (littéralement SSL ennuyeux), ce qui a au moins le mérite d’être parfaitement clair. L’on se doute bien sûr que ce nom ne sera que temporaire, d’autant plus que BoringSSL doit intégrer la prochaine mouture de Chrome, suivi par la suite d’Android. Interrogé sur le sujet, le cryptologue de chez Google Adam Langley a tenu à préciser que BoringSSL n’était pas destiné à remplacer l’actuel OpenSSL, mais servirait surtout en interne, pour les seules solutions de Google.

Afin de rendre son implémentation la plus performante possible, BoringSSL se verrait aussi doté de toutes les améliorations apportées déjà à LibreSSL, un autre « fork » d’OpenSSL. Au final,tout ce remue-ménage devrait profiter en retour à OpenSSL, le nettoyage du code dans les versions « forkées » mâchant aussi le travail pour des prochaines mises à jour plus « carrées », et dans l’esprit de l’OpenSSL initial.