OpenBSD : NETSEC certainement impliqué dans une tentative d'insertion de backdoors
Selon le responsable de l'OS

Le , par Idelways, Expert éminent sénior
Mise à jour du 23/12/2010

Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.

Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler

Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans

Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.

Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.

Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.

Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.

Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.

Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.

Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.

Et va fournir du travail aux analystes et éditeur de sécurité.

Source : Le mail de Gregory Perry

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Flaburgan Flaburgan - Modérateur http://www.developpez.com
le 16/12/2010 à 13:20
Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...
Avatar de Marmot Marmot - Membre habitué http://www.developpez.com
le 16/12/2010 à 13:33
D'habitude, sauf soucis de performance grave, on vérifie rarement le code des librairies qu'on utilise
Avatar de SofEvans SofEvans - Membre éprouvé http://www.developpez.com
le 16/12/2010 à 13:52
Citation Envoyé par Flaburgan  Voir le message
Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

J'y connais rien à OpenBSD, mais a mon avis, c'est pas 4 ligne de code qui le compose.
Et puis, le backdoor devait être subtil, ce n'etait certainement pas

Code : Sélectionner tout
1
2
3
 
if (login == "backdoor" && pwd == "FBI's rules") 
    openBackDoor("without vaseline");
Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

J'avoue qu'au debut j'ai pensé que Wikileak y etait pour quelque chose.
Mais non ^^
Avatar de tHE_fLAmMinG_mOE tHE_fLAmMinG_mOE - Membre habitué http://www.developpez.com
le 16/12/2010 à 14:05
Citation Envoyé par Idelways  Voir le message
Visiblement révolté, Theo de Raadt, qui affirme qu'il s'agit d'un mensonge, vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration".

D'après la source de l'article, Theo de Raadt n'affirme pas que c'est un mensonge ! Il dit simplement qu'il rend l'affaire publique pour que "si ce n'est pas vrai, ceux qui sont accusés puissent se défendre" (if it is not true, those who are being accused can defend themselves)
Avatar de Neko Neko - Membre chevronné http://www.developpez.com
le 16/12/2010 à 14:10
C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.
C'est assez dommage, mais je suis persuadé que c'est loin d'être le seul système affecté par ce genre de problème gouvernemental.
Avatar de Julien Bodin Julien Bodin - Membre éclairé http://www.developpez.com
le 16/12/2010 à 14:16
Citation Envoyé par Neko  Voir le message
C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.

Mais c'est toujours vrai, le code PEUT être vérifié
Avatar de Neko Neko - Membre chevronné http://www.developpez.com
le 16/12/2010 à 14:23
Citation Envoyé par Julien Bodin  Voir le message
Mais c'est toujours vrai, le code PEUT être vérifié

Oui, certes, et il a même probablement été vérifié. Mais sur des codes aussi complexes qu'un noyau, cela n'est pas suffisant.
Avatar de Julien Bodin Julien Bodin - Membre éclairé http://www.developpez.com
le 16/12/2010 à 14:24
En fait le plus gros problème dans tout ça c'est de savoir combien d'OS ont pompé le code pour l'intégrer dans le leur.
Avatar de frp31 frp31 - Expert éminent sénior http://www.developpez.com
le 16/12/2010 à 15:37
parce que vous vous croyez vraiment libre et non surveillés ?

bien sur que tout est surveillé plus ou moins intensément, bien sur que tout est plus ou moins sous contrôle, bien sur qu'on est globalement assez libre mais rien de plus.

Si on veut être anonyme et libre pour de bon il faut fuir en zone très reculée, désert, forêts tropicales etc....hermites.... et surtout sans aucun moyen de communication quel qu'il soit, alors on est libre mais on est tjrs surveillable si on trouve où on est.

En découlent les questions :
Est ce acceptable ?
Est ce que les méthodes des structures sécuritaires des gouvernements sont acceptables ?
Est ce utile ?
Est ce dangereux ?
Est ce que ces surveillances et contrôles sont utilisé à bonne intelligence dans l'interêt réel des peuples ?

Les avis divergent mais globalement, oui c'est utile, par contre acceptable c'est limite. (mon avis n'engage que moi). Et c'est surtout dangereux car quelqu'un de malveillant pourrait utiliser les backdoors à des fins d'espionnage ou de terrorisme...
Avatar de srede srede - Membre du Club http://www.developpez.com
le 16/12/2010 à 16:03
Personnellement, ça ne m'étonne aboutement pas.
Et ce n'est sûrement pas le seul OS à être muni de backdoors.

Toute cette histoire ne va pas fait vraiment pas une bonne publicité pour l'open source. C'est dommage.

Par contre le code des précédentes et futures updates risquent d'être relu assez longuement et je ne serai pas surpris qu'on retrouve d'autres trucs louches...
Offres d'emploi IT
Realiser une course de voiture
CSINFO - Basse Normandie - Caen (14000)
Maître d'oeuvre starworld h/f
Societe Generale - Ile de France - Courbevoie
Ingénieur en développement web java/big data
Criteo - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil