Mise à jour du 23/12/2010
Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).
Une opération qui aurait été commanditée par le FBI.
Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.
Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.
Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.
Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.
Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.
Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».
« Cent fois sur le métier remettre son ouvrage », dit le dicton.
Source : le mail Theo de Raadt
Et vous ?
Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?
En collaboration avec Gordon Fowler
Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans
Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.
Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.
Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.
Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.
Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.
Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.
Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.
Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.
Et va fournir du travail aux analystes et éditeur de sécurité.
Source : Le mail de Gregory Perry
Et vous ?
Que pensez-vous de cette affaire ?
En collaboration avec Gordon Fowler
Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans
Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !