OpenBSD : NETSEC certainement impliqué dans une tentative d'insertion de backdoors
Selon le responsable de l'OS
Le 2010-12-16 12:15:14, par Idelways, Expert éminent sénior
Mise à jour du 23/12/2010
Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).
Une opération qui aurait été commanditée par le FBI.
Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.
Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.
Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.
Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.
Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.
Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».
« Cent fois sur le métier remettre son ouvrage », dit le dicton.
Source : le mail Theo de Raadt
Et vous ?
Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?
En collaboration avec Gordon Fowler
Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans
Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.
Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.
Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.
Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.
Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.
Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.
Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.
Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.
Et va fournir du travail aux analystes et éditeur de sécurité.
Source : Le mail de Gregory Perry
Et vous ?
Que pensez-vous de cette affaire ?
En collaboration avec Gordon Fowler
Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).
Une opération qui aurait été commanditée par le FBI.
Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.
Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.
Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.
Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.
Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.
Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».
« Cent fois sur le métier remettre son ouvrage », dit le dicton.
Source : le mail Theo de Raadt
Et vous ?
En collaboration avec Gordon Fowler
Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans
Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.
Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.
Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.
Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.
Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.
Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.
Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.
Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.
Et va fournir du travail aux analystes et éditeur de sécurité.
Source : Le mail de Gregory Perry
Et vous ?
En collaboration avec Gordon Fowler
-
Gordon FowlerExpert éminent séniorBonjour,
Tout d'abord, merci d'avoir relevé les fautes de cet article. Elles ont, depuis, été corrigées.
Sur la manipulation des faits, en revanche, je ne peux qu'être en désaccord avec vos propos. En tout état de cause, c'est pour cette raison précise que nous mettons systématiquement la source de nos articles.
Quand aux redondances, à nos "atroces paraphrases niveau collège", à notre manque de "talent" évident et notre faible maîtrise de notre porpre "langue natale", soyez assuré que nous travaillons pour tenter de nous améliorer, jour après jour.
Que la qualité de nos écrits vous semble encore faible, je le regrette. J'espère cependant arriver à vous faire changer d'avis à l'avenir.
Respectueusement,
Gordon Fowlerle 17/12/2010 à 8:12 -
bobybobyFutur Membre du ClubJ'ai pas pu m’empêcher
Je vous félicite par contre de la qualité de votre réponse, polie et mesurée. Une personne moins expérimentée aurait répondu : si t'es pas heureux t'as qu'a pas venir sur le forum gros c**
Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès
Cordialementle 19/12/2010 à 23:44 -
SofEvansMembre émériteJ'y connais rien à OpenBSD, mais a mon avis, c'est pas 4 ligne de code qui le compose.
Et puis, le backdoor devait être subtil, ce n'etait certainement pasCode : 1
2
3if (login == "backdoor" && pwd == "FBI's rules") openBackDoor("without vaseline");
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.
J'avoue qu'au debut j'ai pensé que Wikileak y etait pour quelque chose.
Mais non ^^le 16/12/2010 à 13:52 -
trentonMembre expérimentéle 23/12/2010 à 13:21
-
10_GOTO_10Membre expérimentéIl faut aussi garder à l'esprit une autre hypothèse: cette information pourrait être de la désinformation pour décrédibiliser l'open-source.
1) Le FBI en particulier et les organisations gouvernementales en général ont de bonnes raisons d'être contre les programmes libres.
2) Quel est le meilleur moyen de déstabiliser un ennemi ? Le contraindre à faire quelque chose qui coûte cher, prend du temps et monopolise des compétences humaines (rappelez-vous la "guerre des étoiles" pendant la guerre froide).
3) Or, ce monsieur Gregory Perryn dit qu'il y a une (des ?) backdoor(s), mais il ne dit pas où... Débrouillez-vous à chercher. Cherchez bien mes petits, c'est pas de chances, c'est dans la partie la plus complexe.
4) Ne trouvez-vous pas bizarre qu'une telle opération n'ait été protégée que d'un simple NDA (accord de non divulgation) d'une prescription de dix ans ? Alors qu'il y a sûrement d'autres façons bien plus efficaces de protéger un secret (je n'y connais rien, mais j'imagine qu'un classement "confidentiel défense", par exemple, doit être bien plus adapté).
Un petit article intéressant: http://sid.rstack.org/blog/index.php/447-des-backdoors-dans-openbsdJe n'ai évidemment aucune idée sur la véracité ou non de cette annonce. On peut l'interpréter de moult manières différentes, allant de la totale désinformation au soulagement d'une conscience trop longtemps chargée d'un terrible secret.
(...)
Ce qui pose évidemment la question de l'opportunité d'avoir, si c'est le cas, protégé ce travail sous le sceau d'un simple NDA, et non d'un niveau de confidentialité ad-hoc engageant les participants à l'opération au silence sur une période résolument plus longue. Mais je préfère vous laisser juger par vous-même de la crédibilité de la situation...
le 17/12/2010 à 11:48 -
boulet_senseiNouveau membre du ClubGénial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .le 17/12/2010 à 2:52
-
bobybobyFutur Membre du ClubCoucou, vous n’êtes vraiment pas sérieux. Entre fautes d'orthographe et faits déformés, il faudrait faire un petit peu attention. Le but est des transmettre une information, pas de proposer votre propre interprétation théâtralisée."Visiblement révolté"
ah bon?révolté? plutôt "inquiet".Theo de Raadt, qui affirme qu'il s'agit d'un mensonge-"le bureau fédérale"-"d'importantes portions de son code sont en effet été repris"Theo de Raadt rappelle que l'impact de ces allégations, si elles s'avéraient véridiques, irait bien plus loin que le seul système OpenBSDOver 10 years, the IPSEC code has gone through many changes and fixes, so it is unclear what the true impact of these allegations are.
-"Qu'elles soient vraie ou fasses, cette affaire[...]."
Le but des paraphrases c'est de soulager le lecteur en évitant les redondances, mais là on en vient à rendre les paraphrases redondantes. Quel talent, bravo!
Voila, quand on est rédacteur des news, le minimum c'est de connaitre sa langue natale si on veut être pris au sérieux.le 17/12/2010 à 3:55 -
tHE_fLAmMinG_mOEMembre habituéD'après la source de l'article, Theo de Raadt n'affirme pas que c'est un mensonge ! Il dit simplement qu'il rend l'affaire publique pour que "si ce n'est pas vrai, ceux qui sont accusés puissent se défendre" (if it is not true, those who are being accused can defend themselves)le 16/12/2010 à 14:05
-
trentonMembre expérimentéPeut être, mais là n'est pas le point. Pour info, un malin a essayé de faire ça dans le noyau Linux, même si ça n'est pas passé. Mais c'est juste pour essayé d'expliquer à la personne qui ne comprend pas comment en relisant le code on peut laisser passer une erreur.
Je m'en doute que si quelque chose était passé dans openBSD, ce ne serait certainement pas aussi trivial.
Sans doute, mais qui dit le contraire ?
Oui effectivement, tu sembles pas comprendre que pour essayé d'expliquer quelque chose, on prend des exemples simples, qui ne sont pas forcément utilisable en vrai. Mais c'est pas grave, un jour tu comprendras j'en suis sûr...le 26/12/2010 à 17:23 -
MarmotMembre habituéD'habitude, sauf soucis de performance grave, on vérifie rarement le code des librairies qu'on utilisele 16/12/2010 à 13:33