Google se concentre désormais sur sa propre version d'OpenSSL, qu'il baptise pour le moment BoringSSL, en attendant mieux. Pendant des années, la société de Mountain View a appliqué ses propres correctifs sur la bibliothèque de chiffrement Open Source, exploitée par des millions de sites web dans le monde et dont la vulnérabilité révélée par la faille Heartbleed a provoqué un véritable branle-bas de combat en avril dernier. Plusieurs modifications effectuées par Google ont été acceptées dans le référentiel principal du projet OpenSSL. D'autres, en revanche, étaient expérimentales ou ne cadraient pas avec les garanties de stabilité des API et ABI d'OpenSSL, ainsi que l'indique Adam Langley, ingénieur logiciel chez Google, dans un billet publié sur son blog personnel.

Or, au fur et à mesure qu'Android, Chrome et d'autres produits ont commencé à avoir besoin d'évolutions liées aux modifications particulières faites par Google sur la bibliothèque, les choses se sont complexifiées, relate l'ingénieur logiciel. Maintenir tous ces correctifs (plus de 70 actuellement) à travers plusieurs bases de code devient un peu lourd, pointe-t-il dans son billet. « Nous changeons donc de modèle ». Désormais, Google ne se basera plus sur OpenSSL mais en importera les changements qui l'intéresseront. Il crée donc son propre fork de la bibliothèque Open Source et le résultat va rapidement apparaître dans le référentiel du projet Open Source Chromium. « Au fil du temps, nous espérons l'utiliser dans Android et en interne également », ajoute Adam Langley qui précise bien qu'il n'y a pas de garanties de stabilité API ou ABI pour ce code avec lequel Google n'a pas l'intention de remplacer OpenSSL.

Toujours impliqué dans la Core Infrastructure Initiative

Par ailleurs, Google pourra aussi importer des changements de LibreSSL, version libre du protocole SSL/TLS également dérivé d'OpenSSL, qui à l'inverse est invitée à emprunter aussi au fork développé par Google. A la demande d'OpenSSL, la société de Larry Page a déjà mis à disposition certaines de ses précédentes contributions sous licence ISC auxquelles vont s'ajouter du code entièrement nouveau. Dans son billet, Adam Langley ajoute que Google continuera à envoyer des correctifs au projet Open Source d'origine et également qu'il maintiendra son soutien à la Core Infrastructure Initiative (CII) et à la Fondation OpenBSD.

La panique provoquée par la révélation de la faille Heartbleed a mis en évidence la dépendance de l'industrie informatique vis-à-vis d'OpenSSL et, dans le même temps, a fait apparaître le manque de ressources du projet. C'est ce qui a conduit à la création de la CII, fin mai, financièrement soutenue, (plus de 5 M$ ont été levés) par de grands acteurs de l'informatique, dont AWS, Cisco, Dell, Facebook, Microsoft et IBM. La CII doit notamment auditer le code de la bibliothèque de chiffrement Open Source et vérifier aussi la sécurité de deux autres protocoles très répandus, OpenSSH et NTP (Network Time Protocol).