Discussion :

[bobyboby]

Coucou, vous n’êtes vraiment pas sérieux. Entre fautes d'orthographe et faits déformés, il faudrait faire un petit peu attention. Le but est des transmettre une information, pas de proposer votre propre interprétation théâtralisée.

"Visiblement révolté"

ah bon?révolté? plutôt "inquiet".

Theo de Raadt, qui affirme qu'il s'agit d'un mensonge

N'importe quoi !!!!...........

-"le bureau fédérale"

-"d'importantes portions de son code sont en effet été repris"

Theo de Raadt rappelle que l'impact de ces allégations, si elles s'avéraient véridiques, irait bien plus loin que le seul système OpenBSD

Deja il ne "rappelle" pas, et en plus il dit tout le contraire, c'est à dire: il est difficile de mesurer l'impact, PAS DU TOUT "l'impact de ces allégations [...] irait bien plus loin que le seul système OpenBSD" . C'est même pas français de dire "l'impact va plus loin"!

Over 10 years, the IPSEC code has gone through many changes and fixes, so it is unclear what the true impact of these allegations are.

et la palme:

-"Qu'elles soient vraie ou fasses, cette affaire[...]."

Et ces erreurs sont présentes dans TOUTES les news !! Sans parler des atroces paraphrases niveau collège: la firme de redmont! la marque a la pomme! Mountain View blablabla.

Le but des paraphrases c'est de soulager le lecteur en évitant les redondances, mais là on en vient à rendre les paraphrases redondantes. Quel talent, bravo!

Voila, quand on est rédacteur des news, le minimum c'est de connaitre sa langue natale si on veut être pris au sérieux.

[Gordon Fowler]

Bonjour,

Tout d'abord, merci d'avoir relevé les fautes de cet article. Elles ont, depuis, été corrigées.

Sur la manipulation des faits, en revanche, je ne peux qu'être en désaccord avec vos propos. En tout état de cause, c'est pour cette raison précise que nous mettons systématiquement la source de nos articles.

Quand aux redondances, à nos "atroces paraphrases niveau collège", à notre manque de "talent" évident et notre faible maîtrise de notre porpre "langue natale", soyez assuré que nous travaillons pour tenter de nous améliorer, jour après jour.

Que la qualité de nos écrits vous semble encore faible, je le regrette. J'espère cependant arriver à vous faire changer d'avis à l'avenir.

Respectueusement,

Gordon Fowler

[Flaburgan]

Est ce que cette histoire a déclenché des audits de code dans le monde opensource, et pas uniquement chez openBSD?

[gangsoleil]

Bonjour,

Il y a plusieurs choses : tout d'abord, le fait que la norme, pardon, les tres nombreuses normes qui se cachent derriere ce joli terme IPsec, soient toutes plus obscures les unes que les autres.

Concernant le fait de verifier les sources, il y a regulierement des gens qui en parcourent des bouts, mais ca reste complexe en general, et pour IPsec c'est encore pire : ce n'est pas un repertoire IPsec contenant 3 fichiers, mais toute la couche de securite des communications qu'il faudrait relire.
Ca ne veut pas dire que des gens ne sont pas en train d'analyser le code, mais ca va prendre du temps.

Par ailleurs, si on voulait ecrire, from scratch, une implementation d'IPsec aujourd'hui, ca serait tellement complexe que peu de gens seraient pret a le faire. Faut-il tout implementer (sachant que tout n'est pas compatible), ou seulement des bouts, et si oui lesquels ? AH ou ESP ? Tunnel ou transport ? Quel algorithme de cryptage ? IKE ou manuel ? IKE crypte ou non ? Handshake classique ou agressif ?

[10_GOTO_10]

Il faut aussi garder à l'esprit une autre hypothèse: cette information pourrait être de la désinformation pour décrédibiliser l'open-source.

1) Le FBI en particulier et les organisations gouvernementales en général ont de bonnes raisons d'être contre les programmes libres.

2) Quel est le meilleur moyen de déstabiliser un ennemi ? Le contraindre à faire quelque chose qui coûte cher, prend du temps et monopolise des compétences humaines (rappelez-vous la "guerre des étoiles" pendant la guerre froide).

3) Or, ce monsieur Gregory Perryn dit qu'il y a une (des ?) backdoor(s), mais il ne dit pas où... Débrouillez-vous à chercher. Cherchez bien mes petits, c'est pas de chances, c'est dans la partie la plus complexe.

4) Ne trouvez-vous pas bizarre qu'une telle opération n'ait été protégée que d'un simple NDA (accord de non divulgation) d'une prescription de dix ans ? Alors qu'il y a sûrement d'autres façons bien plus efficaces de protéger un secret (je n'y connais rien, mais j'imagine qu'un classement "confidentiel défense", par exemple, doit être bien plus adapté).

Un petit article intéressant: http://sid.rstack.org/blog/index.php...s-dans-openbsd

Je n'ai évidemment aucune idée sur la véracité ou non de cette annonce. On peut l'interpréter de moult manières différentes, allant de la totale désinformation au soulagement d'une conscience trop longtemps chargée d'un terrible secret.
(...)
Ce qui pose évidemment la question de l'opportunité d'avoir, si c'est le cas, protégé ce travail sous le sceau d'un simple NDA, et non d'un niveau de confidentialité ad-hoc engageant les participants à l'opération au silence sur une période résolument plus longue. Mais je préfère vous laisser juger par vous-même de la crédibilité de la situation...

[Epsilon012]

Developpez publie de plus en plus n'importe quoi. Avant de poster des lignes de preuves de votre ignorance, merci de vous intéresser au sujet que pour l'instant, il y une seule source (un email à la base privé rendu public par Théo).

Je vais me permettre une citation de Marc Espie (sur tech@)

I'm not going to comment on the mail itself, but I've seen a lot of incredibly
dubious articles on the net over the last few days.

- use your brains, people. Just because a guy does say so doesn't mean there's
a backdoor. Ever heard about FUD ?

- of course OpenBSD is going to check. Geeez!! what do you think ?

- why would OpenBSD be in trouble ? where do you think *all the other IPsec
implementations* come from ? (hint: 10 years ago, what was the USofA view on
cryptography exports ? where is OpenBSD based. Second hint: Canada !=UsOfA).

- why would the FBI only target OpenBSD ? if there's a backhole in OpenBSD,
which hosts some of the most paranoid Opensource developers alive, what do
you think is the likelyhood similar backholes exist in, say, Windows, or
MacOs, or Linux (check where their darn IPsec code comes from, damn it!)

Allé, une autre (sjp toujours sur tech@)

From memory, in my part of the World if you did this sort of work for
an intelligence agency, your role and work is kept secret until 40
years *after* your death.

Funny developpez, je propose de changer le nom du site en un truc genre "site du 1" histoire d’homogénéiser les noms avec les niveaux de publication.

PS: excusez moi, mais on est vendredi.

[bobyboby]

la qualité de nos écrits vous semblent encore faible, je le regrette.

J'ai pas pu m’empêcher

Je vous félicite par contre de la qualité de votre réponse, polie et mesurée. Une personne moins expérimentée aurait répondu : si t'es pas heureux t'as qu'a pas venir sur le forum gros c**

Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès

Cordialement

[Gordon Fowler]

J'ai pas pu m’empêcher

Et vous avez bien fait, celle-ci elle est pour moi

Je continuerai donc de lire vos news chaque jour pour m'assurer de vos progrès

Cordialement

Et j'espère que vous continuerez à nous apporter vos (précieuses) critiques et vos remarques (y compris en MP) pour nous y aider

Très cordialement également,

Gordon

[ProgVal]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

Peut-être que s'il ne l'était pas, on ne s'en serait jamais aperçu

[OlivierZitouni]

Génial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .

Oui très bon!!

Open source c'est encore contrôlé dès la source aux USA car si vous lisez les types de licences GNU, il y a une association qui a la "paternité" du GNU
Désolé pour les explications peu claires, mais pour moi le GPL ou GNU c'est contrôlé bien avant que le FBI n'ai rajouté le code WV (without Vaseline) :-)

[Idelways]

OpenBSD : NETSEC certainement impliqué dans la tentative d'insertion de backdoors
Sur demande du FBI, mais toujours aucune trace avérée de porte dérobée

Mise à jour du 23/12/2010



Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.


Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler

[trenton]

Oui très bon!!

Open source c'est encore contrôlé dès la source aux USA car si vous lisez les types de licences GNU, il y a une association qui a la "paternité" du GNU
Désolé pour les explications peu claires, mais pour moi le GPL ou GNU c'est contrôlé bien avant que le FBI n'ai rajouté le code WV (without Vaseline) :-)

J'ai rien compris.

[Guile0]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

Si tu dis ça c'est que tu considères qu'aucun logiciel open source ne peut avoir de faille...Ce qui est une assertion complètement stupide.

[Flaburgan]

Je n'ai absolument pas dit ça. Mais j'imagine que lorsque quelqu'un participe à un projet open source, on regarde un minimum ce qu'il a écrit avant de l'inclure dans le projet en soit. Sinon je pourrais mettre une pop up au démarrage d'ubuntu indiquant que les chevreuils vont pas tarder à dominer le monde.

[Guile0]

Je n'ai absolument pas dit ça. Mais j'imagine que lorsque quelqu'un participe à un projet open source, on regarde un minimum ce qu'il a écrit avant de l'inclure dans le projet en soit. Sinon je pourrais mettre une pop up au démarrage d'ubuntu indiquant que les chevreuils vont pas tarder à dominer le monde.

J'ai quand même l'impression que tu pars toujours du principe que quand on code, on fait du code sans failles... Tu as beau relire et faire relire 1000 fois ton code il peut toujours rester des failles, surtout dans le code (surement totalement imbitable) d'IPSEC.

Un OS sans failles, ça n'existe pas (même avec un noyau BSD, et oui !)

[Flaburgan]

Je suis conscient qu'il y a toujours des failles. En l'occurrence ici ce n'est pas une faille, mais quelque chose de volontaire.

[trenton]

Je suis conscient qu'il y a toujours des failles. En l'occurrence ici ce n'est pas une faille, mais quelque chose de volontaire.

Oui, mais fait subtilement de façon à ce que ça ne se voit pas. Comme par exemple, remplacer un == par un simple = dans un if, mais en encore plus subtile, de façon a ce que les relecteurs ne le voit pas.

[Guile0]

Si ce que Gregory Perry a dit Theo de Raadt est vrai, effectivement les contributeurs IPSEC qui ont introduit sciemment des failles en le faisant assez bien pour que cela ne se voit pas sont...assez doués.

[Epsilon012]

Oui, mais fait subtilement de façon à ce que ça ne se voit pas. Comme par exemple, remplacer un == par un simple = dans un if,

Même un étudiant en licence 1 est capable de voir ce genre de connerie. Et on ne parle pas du code du démineur là, le code d'OpenBSD est quand même audité (et pas par des L1), beaucoup plus que la plus part des code open source (il suffit de voir les mail de Theo en train de gueuler pour de l'audit). La sécurité c'est quand même la préoccupation principale des dev d'OpenBSD je rappelle et je ne pense pas que beaucoup d'OS peuvent se permettre de dire la même chose de leur dev.

mais en encore plus subtile, de façon a ce que les relecteurs ne le voit pas.

AAaaahh alors ce serait plus subtil que if((uid=0)) ? Ahhh d'accord, j'avais pas compris, merci de cette analyse.

Un OS sans failles, ça n'existe pas (même avec un noyau BSD, et oui !)

On dirait que c'est en effet ce que la plus part des gens n'ont pas compris là.
Et je me répète (en mode parano) mais si le FBI fait mumuse avec OpenBSD (i.e. avec largement moins d'1% des users), il n'y a pas de raison qu'il ne l'ai pas fait avec les OS plus utilisés, bien au contraire même. Et de toute façon il n'y a toujours rien qui prouve que le FBI soit impliqué dans quoi que ce soit (même si ça parait un peu plus possible maintenant).

P.S.*: Par contre cette fois, quant au contenu de la news, c'est bien mieux.

[Nollo]

Pour le moment l'hypothèse qui traine est qu'il y a bien eu implémentation de backdoor mais dans un fork d'openbsd. Et que pour le moment, il est peu probable que ça apparaisse dans le code d'OpenBSD.

Rien n'empêche le FBI ou madame pipi de mettre n'importe quoi dans le code source récupéré d'openbsd et de se faire un OS vérolé.