Une backdoor dans Linux ? Papa Torvalds dit que le fiston a été approché par la NSA

Le par  |  10 commentaire(s) Source : via ZDNet
NSA

Linus Torvalds avait plaisanté sur le sujet et on ne savait pas trop quoi penser de sa réponse. Son père met les choses au clair et affirme que le renseignement américain a bel et bien approché son fils pour mettre une backdoor dans le noyau Linux.

Membre du Parti pirate suédois et siégeant au Parlement européen, Christian Engström rapporte les propos de Nils Torvalds tenus lors d'une audition de la commission LIBE sur la surveillance massive par la NSA des citoyens de l'Union européenne. Député européen pour la Finlande, Nils Torvalds n'est autre que le père de Linus Torvalds, le fondateur du noyau Linux.

À l'occasion de la conférence LinuxCon North America du mois de septembre, Linus Torvalds a répondu d'une manière humoristique à une question afin de savoir s'il avait été approché par le gouvernement US pour insérer une backdoor - ou porte dérobée - dans Linux.

De double nationalité américano-finlandaise depuis 2010, Linus Torvalds a dit non tout en disant oui en hochant de la tête. Cela a provoqué des rires dans l'assistance avant que Linus Torvalds ne dise plus clairement non.

Sauf que papa Torvalds est revenu sur la réponse de son fils aîné :

" A-t-il été approché par la NSA pour des backdoors ? Il a répondu non mais il a hoché de la tête en même temps. Ainsi, il était dans une sorte de zone juridique libre. Il avait donné la bonne réponse, mais tout le monde a [bien] compris que la NSA l'avait approché. "

Nils Torvalds a fait cette déclaration après une question posée par Christian Engström à une représentante de Microsoft afin de savoir si, le cas échéant, elle aurait le droit de dire si la NSA a demandé à la firme de Redmond d'installer des backdoors. Elle n'a pas répondu.

  
Voir à partir de 3h07

La question de Christian Engström n'est évidemment pas anodine. Il se fait ainsi l'avocat de l'open source comme l'est le noyau Linux. L'open source se poserait ainsi en rempart contre des tentatives de surveillance dans la mesure où tout le monde peut consulter le code et rapidement pointer du doigt des présences indésirées comme des backdoors.

" L'histoire ne nous dit pas ce que Linus Torvalds a répondu à la NSA mais j'imagine qu'il leur a dit qu'il ne pourrait pas injecter des backdoors même s'il le voulait, puisque le code source et ouvert et tous les changements sont inspectés par des développeurs indépendants "

, commente Christian Engström sur son blog (traduit en anglais sur Falkvinge.com ; le site du fondateur du Parti pirate suédois).

Ce point de vue de l'open source contre la surveillance des États et en particulier celle des USA avec la NSA est également celui de Mikko Hypponen, Chief Research Officer chez F-Secure et expert en sécurité informatique.

Dans une intervention intitulée " Comment la NSA a trahi la confiance du monde - Le temps d'agir " le mois dernier lors du TEDxBrussels dans la capitale belge, Mikko Hypponen a conclu sur cette solution open source.

Dans son exposé, Mikko Hypponen a expliqué pourquoi tout internaute devrait être furieux compte-tenu des agissements de la NSA révélés par les fuites d'Edward Snowden. Il a notamment insisté sur un point précis. La NSA a infiltré des organismes de normalisation afin de rendre des algorithmes de chiffrement moins sûrs.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1562322
En conclusion, vive l'Open Source!
Le #1562392
Kyll a écrit :

En conclusion, vive l'Open Source!


Tu es capable de vérifier ce qu'il y a dans les sources ? Moi pas. Et il n'y a pas que linux qui pourrait ouvrir des portes, les applications qui sont installées par la suite sont elles exempt de portes pour la NSA ?
Difficile à dire à mon niveau.
Le #1562442
warsoft a écrit :

Kyll a écrit :

En conclusion, vive l'Open Source!


Tu es capable de vérifier ce qu'il y a dans les sources ? Moi pas. Et il n'y a pas que linux qui pourrait ouvrir des portes, les applications qui sont installées par la suite sont elles exempt de portes pour la NSA ?
Difficile à dire à mon niveau.


Je n'en suis pas plus capable que toi, par contre surveiller ce que fait un poste sur le réseau c'est à la porté de tout le monde et ça donne de bonne piste.
Le #1562452
warsoft a écrit :

Kyll a écrit :

En conclusion, vive l'Open Source!


Tu es capable de vérifier ce qu'il y a dans les sources ? Moi pas. Et il n'y a pas que linux qui pourrait ouvrir des portes, les applications qui sont installées par la suite sont elles exempt de portes pour la NSA ?
Difficile à dire à mon niveau.


Il n'empêche qu'il est plus facile de vérifier ce qu'il y a dans les sources quand on y a accès que quand elles sont cachées... Après en effet c'est pas parce que c'est open source que c'est garanti secure non plus.
Le #1562472
warsoft a écrit :

Kyll a écrit :

En conclusion, vive l'Open Source!


Tu es capable de vérifier ce qu'il y a dans les sources ? Moi pas. Et il n'y a pas que linux qui pourrait ouvrir des portes, les applications qui sont installées par la suite sont elles exempt de portes pour la NSA ?
Difficile à dire à mon niveau.


Si tu mets en place SELinux (développé par la NSA mais audité par toute la communauté du libre, notamment les gars d'OpenBSD qui est la distribution réputée pour être la plus sécurisée) ou AppArmor (l'équivalent de SELinux mais développé en majeure partie par Canonical, dont le code a également été largement revu par les développeurs du kernel), tu peux isoler chaque application dans des zones mémoires totalement fermées et qui ne peuvent accéder ni à d'autres zones mémoires, ni à d'autres fichiers que ceux auxquels elles sont censées accéder.

Par conséquent il est tout à fait possible de faire tourner des applications totalement pourries contenant des backdoors dans Linux si SELinux est correctement installé et configuré, car ces backdoors ne pourront jamais accéder à plus de données que celles de l'application en question. Donc la backdoor ne peut tout simplement pas faire son travail.

SELinux répond au problème qu'apporte l'utilisation obligatoire du compte root pour installer n'importe quelle application. C'est un non-sens selon moi car le compte root permet de faire *absolument n'importe quoi* sur un système. Je trouve complètement hallucinant qu'on utilise les mêmes droits pour installer une application que pour manipuler les clés de chiffrement d'un système. SELinux permet de régler ce problème et devrait ainsi être installé par défaut dans n'importe quelle distribution Linux (si déjà il n'est pas activé par défaut dans le noyau d'origine), car comme tu le fais remarquer si une application moisie est installée en espace superviseur elle peut accéder à tout le système (et si elle est en espace utilisateur, elle peut potentiellement accéder à toutes les données d'un utilisateur).

Avec SELinux (ou AppArmor), aucun problème, chaque application n'accédera que ce à quoi on l'autorise à accéder, et pas plus.
Le #1562522
en tous cas keylogger ou pas ?
http://blog.rom1v.com/2011/11/keylogger-sous-gnulinux-enregistrer-les-touches-tapees-au-clavier/

présent sous ubuntu mint kubuntu (je me souviens plus pour les autres que j'ai testé )
Donc avant l'install d'une ubuntu sudo apt-get remove --purge xinput
et ça ne gêne rien donc je me demande pourquoi c'est installé d'office ?.

étrangement il n'y a que sur debian que je n'ai jamais trouvé ce xinput (Xilpue)


Le #1562542
vive la sécurité par la clarté !
Le #1562572
L'article enfonce les portes ouvertes.

Bien évidemment qu'avoir accès aux sources permet forcément un bien meilleur contrôle de ce qui se fait, que d'avoir simplement des exécutables qui se lancent sans qu'on sache exactement ce qu'ils font ... Si moi, je ne sais pas le faire,je connais des gens qui le savent.

La preuve que le contrôle collectif, ça marche, c'est Wikileaks, ou Snowden ... D'accord , il y a plein d'infos, mais plein de journalistes aussi pour y mettre leur nez .... et ça fait chie*****r certains !

Maintenant, dire "le libre, c'est bien" , c'est une chose ; demander aux États de mettre en place une politique de soutien au libre , c'en est une autre !!

On pourrait par exemple, le généraliser comme référence dans les postes de travail de l'administration publique ---sans même parler des décisionnaires politiques, qui comme Merkel se plaignent d'être espionnés ! --- , ...... ne serait-ce que pour économiser le coût des licences propriétaires ! Après tout, ce sont nos impôts qui paient tout ça !



Le #1562582


pour une securité un peu 'moins pire'...
ne faudrait-il pas aussi un hardware 'secure'

alors quand commence en 'libre' et open et cooperatif!
le développement de processeurs, ram et tous les chipsets....
ne parlons pas des routeurs et autres switch....

oui quand? ... quel retard de ne s'appuyer que sur le logiciel...
en gardant le "materiel"... passoire???
Le #1562622
L'open source permet aussi de trouver des failles exploitables plus facilement.
Donc c'est à double tranchant.
Il y a peu, il y avait un article sur l'exploitation de failles Firefox de la part de la NSA.

En gros l'open source ne garantit rien du tout.


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]