
Ses révélations n’ont pas laissé de marbre les développeurs du système d’exploitation FreeBSD. Au cours de l’EuroBSDCon 2013, le sommet de rassemblement des développeurs FreeBSD, des résolutions ont été prises pour renforcer la sécurité des futures versions de FreeBSD.
Les noms d’Intel et de VIA ont été cités au cours du sommet. Cependant ce n’était pas pour faire des éloges à ces grands constructeurs. Loin de là, ils sont soupçonnés d’avoir pactisé avec le gouvernement et inséré sciemment des faiblesses dans leurs puces matérielles respectives. La conséquence, c’est que les algorithmes respectifs qu’ils utilisent (RDRAND et Padlock) pour générer les nombres pseudo aléatoires (pierre angulaire des systèmes de sécurité) ne peuvent être fiables.
C’est ainsi que la décision a été prise à l’unisson de coupler aux RDRAND et Padlock un second élément qui viendrait ajouter davantage d’entropie aux nombres pseudo aléatoires qu’ils auront générés de façon à les rendre vraiment imprévisibles.
Les choix se sont portés vers Fortuna et Yarrow créés par l’expert en sécurité qu’on n’a plus besoin de présenter Bruce Schneier.
Par ailleurs, il a été aussi évoqué au cours du sommet, l’introduction dans FreeBSD 10 de mécanismes de protection, à savoir stackgap, ainsi que l’amélioration de la fonction mmap contre le dépassement de tampon (Buffer Overflow). Cependant ils seront désactivés par défaut.
Source : rapport de l'EuroBSDCon
Et vous ?
