OpenBSD : des backdoors du FBI dans le code source ?

Le par  |  12 commentaire(s)
OpenBSD 4.0 (117x106)

Souvent mis en avant pour son aspect sécurité, le système d'exploitation OpenBSD embarquerait dans son code des portes dérobées mises en place sous la houlette du FBI il y a une dizaine d'années.

OpenBSD 4.0 (117x106)Des rumeurs ont longtemps été relayées à propos de la présence d'une backdoor gouvernementale  dans le système d'exploitation Windows. Stupeur, c'est aujourd'hui un système d'exploitation Open Source qui fait l'objet de tels soupçons, et en l'occurrence OpenBSD loué pour être un OS très sécurisé avec cryptographie intégrée.

Le créateur du système d'exploitation libre de type UNIX, Theo de Raadt, a rendu public un e-mail qui lui a adressé Gregory Perry, une vieille connaissance. Actuellement PDG de la société GoVirtual Education, Gregory Perry a été auparavant le directeur technique de NETSEC et a contribué au framework cryptographique d'OpenBSD.

C'est au sein de NETSEC que l'homme a effectué un travail de consultant pour le compte d'une branche du FBI ( Federal Bureau of Investigations ). Il affirme qu'il y a maintenant dix ans, le FBI a rémunéré des développeurs afin qu'ils installent des backdoors dans la pile réseau IPSEC d'OpenBSD. Ces portes dérobées et autres mécanismes auraient pour but de surveiller le système de chiffrement lors de connexions VPN entre des sites.

Il avance que c'est pourquoi des personnes proches du FBI sont aujourd'hui devenues des avocats de l'utilisation d'OpenBSD dans des environnements virtualisés pour des implémentations VPN.  Ces soudaines révélations paraissent étranges, mais si Gregory Perry a attendu près de dix ans avant  de " passer aux aveux ", c'est parce qu'il précise que son accord de non-divulgation avec le FBI vient d'expirer.

Theo de Raadt refuse de souscrire à une théorie du complot mais fait preuve d'une grande transparence en rendant public le message de Gregory Perry. Il pousse ainsi à un audit du code concerné par les personnes qui l'utilisent. Un audit qui ne sera pas une mince affaire. Par ailleurs, il donne l'opportunité aux développeurs OpenBSD cités par Gregory Perry de se défendre.

Pour Theo de Raadt, même si les backdoors existent, le code de IPSEC a beaucoup évolué depuis dix ans. Difficile donc selon lui d'évaluer l'impact des allégations de Gregory Perry. Il souligne néanmoins que la pile IPSEC était gratuite et qu'une large partie de son code se retrouve dans beaucoup d'autres projets et produits qu'OpenBSD.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #725231
Oula, mauvaise nouvelle.
Le #725321
Encore un qui a été rémunéré par microsoft, oracle ou cie.
Vu qu'ils auditent leur code régulièrement, comment c'est possible ? Il y a 10 ans peut etre mais aujourd'hui j'en doute !
De toute manière Ipsec a bien évolué depuis 10 ans et quand on évolue, on audite d'ailleurs, on patche pas à tout va ( petit pic à krosoft ).

On voit ici que nos occidentaux ( ricains et européens réunis) n'ont rien à envier aux asiatiques ( Corée et chinois ), l'affaire wikileaks le prouve.
D'ailleurs peut etre que ce Monsieur a craint une future divulgation que Wikileaks ? qui sait ?
Echelon, gouvernance de L'icann, patriot act, ect ect.... ça dérange.
Stuxnet, ça dérange personne, des meurtres de savants iraniens, ça dérange personne. Bientot on va apprendre qu'israel a un backdoor dans chaque logiciel qu'il vend, citrix and co.
Personne et dire que quand certains se rebellent, on les traite de communistes ( iran, brésil, vénézuela,chine, corée). Et les ricins, ils adoptent pas des méthodes pires peut etre, on peut aussi parler de la françafrique....
LOL des moutons, je vous dis, prosternés devant des séries américaines et britney spears...
Pas grave, travaillez pour etre bling-bling, soyez pro américains comme sarko.
Le #725361
Mouhai, spa rassurant tout ça...
Le #725411
Si ça s'avère fondé, ça va faire ricaner les tenants du code propriétaire et fermé.
Enfin, on pourra dire que l'argument: "l'open source c'est mieux car on sait ce qui tourne" est une vaste fumisterie pour 99,9% des utilisateurs. (vous avez déjà regardé le code source d'un OS vous ?).
au moins avec le code propriétaire, on part sur des bases saines: rien n'est secret dès que la machine est connectée au web. La réflexion sur la sécurité est alors bien plus efficace.
Le #725471
Une nième tentative des uSoft et consorts pour déstabiliser l'open-source ?
C'est grossier tout de même.
Faire croire qu'en 10 ans personne, parmi les développeurs, ne s'est rendu compte de la présence d'une BD ?
Mouarf !
C'est vraiment ignorer de fond en comble comment ces projets travaillent.
Il y a des dizaines voire des centaines de participants, des "anciens" aux petits nouveaux qui veulent savoir comment ça fonctionne et pourquoi c'est écrit comme ça, et à quoi sert cette fonction, etc ?
Sans compter les projets concurrents (comme openssl) qui scrutent également le code des voisins à la rrcherche de bonnes idées.
Sachant que le code crypto d'openbsd se retrouve porté à droite et à gauche (racoon sur Linux, openssh, etc) personne ne se serait rendu compte d'un truc aussi gros qu'une BD ?
Ben tiens !
Et moi je suis la reine d'Angleterre.
Tout cela participe tjs du même mouvement : nous savons tout sur vous. Ne faites pas de conneries, on le saura.

Le de Raadt a dû négocier qqchose avec qqun pour sortir une pareille connerie !
Db
Db
Le #725601
@celegorm
../au moins avec le code propriétaire, on part sur des bases saines:/...
tu crois réellement ce que tu écris ?
dans ce cas t'est bien naif.tes propos font en faire marrer plus d'un.

@Gourmet
../Le de Raadt a dû négocier qqchose avec qqun pour sortir une pareille connerie !/..

et que crois tu que font le FBI ou autre avec les gens qu'ils coincent?

une offre qu'ils ne peuvent refuser

et moi cela ne m'étonne pas du tout
et c'est pas parce que je suis sous linux que la confiance est aveugle,faut pas déconner non plus.



Le #725621
En même temps, analyser le code d'IPSEC, c'est pas à la portée du premier venu. Je suis pas surpris que ça soit passé au travers, mais c'est quand même étonnant qu'on l'apprenne comme ça. Ce genre de choses n'arriverait pas avec une distrib unifiée (mais avec environnement au choix), où on éviterait la démultiplication des lignes de codes. Linux est devenu une usine à gaz, ça commence à se retourner contre lui.
Le #725701
@nemo

Oui mais en dix ans IPSEC à eu le temps d'être en partie réécrit donc il y a du avoir pas mal de dev qui aurait pu s'en apercevoir. Pour que les propos de Raadt soit crédible il faudrait qu'il précise les lignes de code incriminées. Mais j'y crois pas beaucoup surtout que les disrib BSD sont très orienté sécurité.

Désolé de te contredire le noyau linux en lui même n'est pas une usine à gaz, ce sont tous les modules autour codés avec moins de rigueur qui commencent à l'être. Des amélioration sont en vu notamment avec le futur abandon de la couche graphique X. Mais je ne vois en quoi ça concerne BSD.
Le #725711
@DMZ
"On voit ici que nos occidentaux ( ricains et européens réunis) n'ont rien à envier aux asiatiques ( Corée et chinois ), l'affaire wikileaks le prouve."

Sauf que des développements d'OS en Europe et encore plus en France c'est bien rare.
Le #725721
Des backdoors dans BSD, mouarf depuis le temps que les linuxiens nous bassinent en nous disant que c'est meilleurs parce que le code source est visible...
Dans tous les cas il est très difficile de rentrer dans le code qu'une autre personne a écrit, et je sais de quoi je parle, ce type de contournement existe à mon avis dans la plupart des logiciels qu'ils soient publiques ou privés, le développeur a souvent besoin d'ajouter des choses spécifiques pour pouvoir tester ses programmes, dans la plupart des cas elles ne sont présentes que dans les versions de debug, mais si le développeur n'est pas vraiment rigoureux (ce qui est très commun), ce genre de code se retrouve aussi dans les releases et donc sur le terrain...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]