Des rumeurs ont longtemps été relayées à propos de la présence d'une backdoor gouvernementale dans le système d'exploitation Windows. Stupeur, c'est aujourd'hui un système d'exploitation Open Source qui fait l'objet de tels soupçons, et en l'occurrence OpenBSD loué pour être un OS très sécurisé avec cryptographie intégrée.
Le créateur du système d'exploitation libre de type UNIX, Theo de Raadt, a rendu public un e-mail qui lui a adressé Gregory Perry, une vieille connaissance. Actuellement PDG de la société GoVirtual Education, Gregory Perry a été auparavant le directeur technique de NETSEC et a contribué au framework cryptographique d'OpenBSD.
C'est au sein de NETSEC que l'homme a effectué un travail de consultant pour le compte d'une branche du FBI ( Federal Bureau of Investigations ). Il affirme qu'il y a maintenant dix ans, le FBI a rémunéré des développeurs afin qu'ils installent des backdoors dans la pile réseau IPSEC d'OpenBSD. Ces portes dérobées et autres mécanismes auraient pour but de surveiller le système de chiffrement lors de connexions VPN entre des sites.
Il avance que c'est pourquoi des personnes proches du FBI sont aujourd'hui devenues des avocats de l'utilisation d'OpenBSD dans des environnements virtualisés pour des implémentations VPN. Ces soudaines révélations paraissent étranges, mais si Gregory Perry a attendu près de dix ans avant de " passer aux aveux ", c'est parce qu'il précise que son accord de non-divulgation avec le FBI vient d'expirer.
Theo de Raadt refuse de souscrire à une théorie du complot mais fait preuve d'une grande transparence en rendant public le message de Gregory Perry. Il pousse ainsi à un audit du code concerné par les personnes qui l'utilisent. Un audit qui ne sera pas une mince affaire. Par ailleurs, il donne l'opportunité aux développeurs OpenBSD cités par Gregory Perry de se défendre.
Pour Theo de Raadt, même si les backdoors existent, le code de IPSEC a beaucoup évolué depuis dix ans. Difficile donc selon lui d'évaluer l'impact des allégations de Gregory Perry. Il souligne néanmoins que la pile IPSEC était gratuite et qu'une large partie de son code se retrouve dans beaucoup d'autres projets et produits qu'OpenBSD.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.