Sécurité - Un expert employé à la fin des années 90 par le FBI a informé le fondateur de la communauté OpenBSD avoir développé au sein d’une cellule spéciale des portes dérobées. Celles-ci permettraient de dérober des clés de chiffrement et d’intercepter du trafic chiffré. Un audit du code est en cours.
Wikileaks n'a pas le monopole des révélations. Celle qui agite la communauté OpenBSD émane directement de son fondateur Theo de Raadt. C'est un message électronique de Gregory Perry, ancien directeur technique de NetSec (devenu Verizon Business Security) qui a mis le feu aux poudres.
Gregory Perry a profité de l'expiration d'une clause de confidentialité signée avec le FBI pour révéler l'affaire. L'expert a ainsi informé Theo de Raadt avoir assisté techniquement le FBI à la fin des années 90 dans le but d'insérer du code dans OpenBSD.
Les parefeu et VPN reprenant le code d'OpenBSD potentiellement concernés
Objectif du projet : permettre à l'agence fédérale américaine d'effectuer des interceptions. Les développements de la cellule formée par le FBI portaient en effet sur « des backdoors dans des systèmes de cartes à puce et dans des frameworks cryptographiques » d'OpenBSD analyse LeMagIT.
Pour Gregory Perry, l'existence de ces backdoors justifient notamment l'attachement manifesté par le FBI à promouvoir OpenBSD dans les solutions parefeu et VPN. Depuis les 10 dernières années, le code du système d'exploitation a cependant beaucoup évolué.
Des accusations qui restent à démontrer
Mais Gregory Perry encourage le fondateur de la communauté OpenBSD et ses membres à auditer le code lié à la cryptographie, et en particulier les contributions de Scott Lowe.
Ce dernier, expert de la virtualisation chez EMC, est en effet directement pointé du doigt par Perry qui l'accuse de travailler pour le compte du FBI en promouvant l'utilisation de machines virtuelles OpenBSD dans vSphere de VMware.
Scott Lowe a rapidement réagi sur son blog pour démentir ces informations. Malgré le scepticisme de certains experts à l'égard des différentes accusations formulées par Perry, celles-ci sont malgré tout prises avec sérieux.
Le code source soupçonné d'abriter des portes dérobées ayant été largement réutilisé dans d'autres produits, notamment des distributions, l'affaire dépasse la seule communauté OpenBSD. L'audit du code, et en particulier du stack IPSec, est quoi qu'il en soit lancé.
Voici la réponse,(du 29 Dec 2010):
OpenBSD : pas de porte dérobée identifiée dans le code source
Au terme d’un premier audit, la communauté OpenBSD n’a détecté aucune porte dérobée dans son code source. Au début du mois, Gregory Perry soupçonnait des développeurs d’avoir codé des backdoors pour le compte du FBI.
En décembre, le fondateur d'OpenBSD et OpenSSH a reçu un mail lui indiquant que des portes dérobées pouvaient avoir été insérées à la fin des années 90 dans le code de l'OS, et ce pour le compte du FBI. Le message émanait de Gregory Perry, ancien directeur technique de NetSec.
Selon ce dernier, des développeurs avaient été rémunérés par l'agence gouvernementale américaine pour coder des backdoors dans le framework cryptographique d'OpenBSD et dans certains éléments de la pile réseau.
Malgré le scepticisme de certains experts et les dénégations des développeurs mis en cause, Theo de Raadt avait décidé de lancer un audit du code de l'OS Open Source. Premier bilan : si deux bugs ont été identifiés au niveau de la cryptographie, ceux-ci seraient accidentels et non le fruit d'une malveillance.
Pour autant Theo de Raadt n'exclut pas que la société NetSec ait pu concevoir des portes dérobées pour le compte du gouvernement américain. Il estime en revanche peu probable que celles-ci aient été insérées dans le code d'OpenBSD (mais plus probablement dans les propres produits de NetSec, devenue Verizon Business Security).
1 commentaire:
ok,mais on connaît ça,..........de vieux souvenirs de windows 2000,XP, et j'en passe ;-)
Publier un commentaire