Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans

Le , par Idelways

0PARTAGES

3  0 
Mise à jour du 23/12/2010

Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.

Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler

Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans

Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.

Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.

Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.

Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.

Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.

Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.

Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.

Et va fournir du travail aux analystes et éditeur de sécurité.

Source : Le mail de Gregory Perry

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 17/12/2010 à 8:12
Bonjour,

Tout d'abord, merci d'avoir relevé les fautes de cet article. Elles ont, depuis, été corrigées.

Sur la manipulation des faits, en revanche, je ne peux qu'être en désaccord avec vos propos. En tout état de cause, c'est pour cette raison précise que nous mettons systématiquement la source de nos articles.

Quand aux redondances, à nos "atroces paraphrases niveau collège", à notre manque de "talent" évident et notre faible maîtrise de notre porpre "langue natale", soyez assuré que nous travaillons pour tenter de nous améliorer, jour après jour.

Que la qualité de nos écrits vous semble encore faible, je le regrette. J'espère cependant arriver à vous faire changer d'avis à l'avenir.

Respectueusement,

Gordon Fowler
8  2 
Avatar de bobyboby
Candidat au Club https://www.developpez.com
Le 19/12/2010 à 23:44
Citation Envoyé par Gordon Fowler Voir le message

la qualité de nos écrits vous semblent encore faible, je le regrette.
J'ai pas pu m’empêcher

Je vous félicite par contre de la qualité de votre réponse, polie et mesurée. Une personne moins expérimentée aurait répondu : si t'es pas heureux t'as qu'a pas venir sur le forum gros c**

Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès

Cordialement
6  0 
Avatar de SofEvans
Membre chevronné https://www.developpez.com
Le 16/12/2010 à 13:52
Citation Envoyé par Flaburgan Voir le message
Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...
J'y connais rien à OpenBSD, mais a mon avis, c'est pas 4 ligne de code qui le compose.
Et puis, le backdoor devait être subtil, ce n'etait certainement pas

Code : Sélectionner tout
1
2
3
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");
Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

J'avoue qu'au debut j'ai pensé que Wikileak y etait pour quelque chose.
Mais non ^^
6  1 
Avatar de trenton
Membre éprouvé https://www.developpez.com
Le 23/12/2010 à 13:21
Citation Envoyé par OlivierZitouni Voir le message
Oui très bon!!

Open source c'est encore contrôlé dès la source aux USA car si vous lisez les types de licences GNU, il y a une association qui a la "paternité" du GNU
Désolé pour les explications peu claires, mais pour moi le GPL ou GNU c'est contrôlé bien avant que le FBI n'ai rajouté le code WV (without Vaseline) :-)
J'ai rien compris.
5  0 
Avatar de 10_GOTO_10
Membre expérimenté https://www.developpez.com
Le 17/12/2010 à 11:48
Il faut aussi garder à l'esprit une autre hypothèse: cette information pourrait être de la désinformation pour décrédibiliser l'open-source.

1) Le FBI en particulier et les organisations gouvernementales en général ont de bonnes raisons d'être contre les programmes libres.

2) Quel est le meilleur moyen de déstabiliser un ennemi ? Le contraindre à faire quelque chose qui coûte cher, prend du temps et monopolise des compétences humaines (rappelez-vous la "guerre des étoiles" pendant la guerre froide).

3) Or, ce monsieur Gregory Perryn dit qu'il y a une (des ?) backdoor(s), mais il ne dit pas où... Débrouillez-vous à chercher. Cherchez bien mes petits, c'est pas de chances, c'est dans la partie la plus complexe.

4) Ne trouvez-vous pas bizarre qu'une telle opération n'ait été protégée que d'un simple NDA (accord de non divulgation) d'une prescription de dix ans ? Alors qu'il y a sûrement d'autres façons bien plus efficaces de protéger un secret (je n'y connais rien, mais j'imagine qu'un classement "confidentiel défense", par exemple, doit être bien plus adapté).

Un petit article intéressant: http://sid.rstack.org/blog/index.php/447-des-backdoors-dans-openbsd

Je n'ai évidemment aucune idée sur la véracité ou non de cette annonce. On peut l'interpréter de moult manières différentes, allant de la totale désinformation au soulagement d'une conscience trop longtemps chargée d'un terrible secret.
(...)
Ce qui pose évidemment la question de l'opportunité d'avoir, si c'est le cas, protégé ce travail sous le sceau d'un simple NDA, et non d'un niveau de confidentialité ad-hoc engageant les participants à l'opération au silence sur une période résolument plus longue. Mais je préfère vous laisser juger par vous-même de la crédibilité de la situation...
5  1 
Avatar de boulet_sensei
Nouveau membre du Club https://www.developpez.com
Le 17/12/2010 à 2:52
Citation Envoyé par SofEvans Voir le message


Code : Sélectionner tout
1
2
3
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");
Génial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .
3  0 
Avatar de bobyboby
Candidat au Club https://www.developpez.com
Le 17/12/2010 à 3:55
Coucou, vous n’êtes vraiment pas sérieux. Entre fautes d'orthographe et faits déformés, il faudrait faire un petit peu attention. Le but est des transmettre une information, pas de proposer votre propre interprétation théâtralisée.

"Visiblement révolté"

ah bon?révolté? plutôt "inquiet".

Theo de Raadt, qui affirme qu'il s'agit d'un mensonge
N'importe quoi !!!!...........

-"le bureau fédérale"
-"d'importantes portions de son code sont en effet été repris"
Theo de Raadt rappelle que l'impact de ces allégations, si elles s'avéraient véridiques, irait bien plus loin que le seul système OpenBSD
Deja il ne "rappelle" pas, et en plus il dit tout le contraire, c'est à dire: il est difficile de mesurer l'impact, PAS DU TOUT "l'impact de ces allégations [...] irait bien plus loin que le seul système OpenBSD" . C'est même pas français de dire "l'impact va plus loin"!

Over 10 years, the IPSEC code has gone through many changes and fixes, so it is unclear what the true impact of these allegations are.
et la palme:
-"Qu'elles soient vraie ou fasses, cette affaire[...]."
Et ces erreurs sont présentes dans TOUTES les news !! Sans parler des atroces paraphrases niveau collège: la firme de redmont! la marque a la pomme! Mountain View blablabla.

Le but des paraphrases c'est de soulager le lecteur en évitant les redondances, mais là on en vient à rendre les paraphrases redondantes. Quel talent, bravo!

Voila, quand on est rédacteur des news, le minimum c'est de connaitre sa langue natale si on veut être pris au sérieux.
7  4 
Avatar de tHE_fLAmMinG_mOE
Membre habitué https://www.developpez.com
Le 16/12/2010 à 14:05
Citation Envoyé par Idelways Voir le message
Visiblement révolté, Theo de Raadt, qui affirme qu'il s'agit d'un mensonge, vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration".
D'après la source de l'article, Theo de Raadt n'affirme pas que c'est un mensonge ! Il dit simplement qu'il rend l'affaire publique pour que "si ce n'est pas vrai, ceux qui sont accusés puissent se défendre" (if it is not true, those who are being accused can defend themselves)
2  0 
Avatar de trenton
Membre éprouvé https://www.developpez.com
Le 26/12/2010 à 17:23
Citation Envoyé par Epsilon012 Voir le message
Même un étudiant en licence 1 est capable de voir ce genre de connerie.
Peut être, mais là n'est pas le point. Pour info, un malin a essayé de faire ça dans le noyau Linux, même si ça n'est pas passé. Mais c'est juste pour essayé d'expliquer à la personne qui ne comprend pas comment en relisant le code on peut laisser passer une erreur.
Je m'en doute que si quelque chose était passé dans openBSD, ce ne serait certainement pas aussi trivial.

Citation Envoyé par Epsilon012 Voir le message
Et on ne parle pas du code du démineur là, le code d'OpenBSD est quand même audité (et pas par des L1), beaucoup plus que la plus part des code open source (il suffit de voir les mail de Theo en train de gueuler pour de l'audit).La sécurité c'est quand même la préoccupation principale des dev d'OpenBSD je rappelle et je ne pense pas que beaucoup d'OS peuvent se permettre de dire la même chose de leur dev.
Sans doute, mais qui dit le contraire ?

Citation Envoyé par Epsilon012 Voir le message
AAaaahh alors ce serait plus subtil que if((uid=0)) ? Ahhh d'accord, j'avais pas compris, merci de cette analyse.
Oui effectivement, tu sembles pas comprendre que pour essayé d'expliquer quelque chose, on prend des exemples simples, qui ne sont pas forcément utilisable en vrai. Mais c'est pas grave, un jour tu comprendras j'en suis sûr...
2  0 
Avatar de Marmot
Membre habitué https://www.developpez.com
Le 16/12/2010 à 13:33
D'habitude, sauf soucis de performance grave, on vérifie rarement le code des librairies qu'on utilise
2  1