L'Open-Source, c'est bien, mais tous les projets n'ont pas vraiment les mêmes ressources, particulièrement en matière de sécurité. Et pour les plus petits d'entre eux, pourtant largement répandus y compris en entreprise, auditer leur code et corriger rapidement une vulnérabilité n'est pas toujours simple, voire même possible.

C'est là qu'intervient le projet oCERT, un - autre - projet Open Source. Composé de spécialistes bénévoles de la sécurité et sponsorisé par Google, oCERT se veut le Computer Emergency Response Team des projets Libres. Concrètement, le groupe compilera et maintiendra des informations de contact sur un maximum de projets Open Source, et servira d'agent de liaison entre les découvreurs de failles, les développeurs des projets concernés et les grandes distributions de Linux. Ses membres apporteront également une assistance technique à la correction des vulnérabilités aux développeurs de projets ne disposant pas des compétences suffisantes en matière de sécurité.

Lancé le mois dernier, le projet a été fondé à partir de l'équipe dirigeante de la société de conseil Inverse Path. On y retrouve ainsi son Chief Security Engineer et son responsable R&D, également membre de l'équipe d'audit sécurité de la distribution Linux Gentoo. Ils sont entourés d'ingénieurs de l'équipe sécurité de Google et d'un ingénieur d'Intel (Marcel Holtmann, développeur de la pile Bluetooth pour Linux). Ils sont également conseillés par Solar Designer, du projet de Linux sécurisé OpenWall (et auteur du casseur de mots de passe John The Ripper) et Dragos Ruiu, de la conférence sécurité CanSecWest, qui a lui aussi vu passer plus que sa part de vulnérabilités.

Durant son premier mois d'existence, le projet a publié quatre alertes, dont deux proviennent de son équipe. Le processus de traitement de ces alertes illustre l'intérêt de l'approche. Lorsqu'il a été contacté par une source extérieure ayant découvert une vulnérabilité (speex), oCERT a élargi le champs de la recherche et découvert plusieurs autres packages Libres également vulnérables mais ignorés jusqu'à présent. Il s'est ensuite occupé de contacter tous les  responsables concernés, et non uniquement Jean-Marc Valin, le développeur principal de Speex. De même lorsque sa propre équipe a identifié une vulnérabilité dans la librairie pour Linux libpng, oCERT s'est chargé de vérifier la qualité du correctif proposé par les développeurs.

Bien que séduisant sur le papier, oCERT devra toutefois se faire une place parmi les déjà nombreux organismes d'alerte dont jouit la sécurité IT. Entre les CERT nationaux, les organismes privés réputés tel l'institut SANS et les équipes verticale (le CERT de Renater, celui d'Alcatel, etc...), le paysage de l'alerte est déjà bien fourni.

Sa spécificité Open-Source pourra toutefois l'y aider : certaines briques mineures, faillibles, peuvent se retrouver incluses dans de très nombreux projets plus visibles, et il est souvent difficile de tracer ces ramifications dans l'urgence d'une attaque.

• Le site de oCERT (en anglais)
• Les alertes publiées (en anglais)