Discussion :

[Idelways]

OpenBSD : NETSEC certainement impliqué dans la tentative d'insertion de backdoors
Sur demande du FBI, mais toujours aucune trace avérée de porte dérobée

Mise à jour du 23/12/2010



Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.


Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler



Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans



Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.

Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.

Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.

Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.

Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.

Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.

Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.

Et va fournir du travail aux analystes et éditeur de sécurité.


Source : Le mail de Gregory Perry

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler

[Flaburgan]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

[Marmot]

D'habitude, sauf soucis de performance grave, on vérifie rarement le code des librairies qu'on utilise

[SofEvans]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

J'y connais rien à OpenBSD, mais a mon avis, c'est pas 4 ligne de code qui le compose.
Et puis, le backdoor devait être subtil, ce n'etait certainement pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");

Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

J'avoue qu'au debut j'ai pensé que Wikileak y etait pour quelque chose.
Mais non ^^

[tHE_fLAmMinG_mOE]

Visiblement révolté, Theo de Raadt, qui affirme qu'il s'agit d'un mensonge, vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration".

D'après la source de l'article, Theo de Raadt n'affirme pas que c'est un mensonge ! Il dit simplement qu'il rend l'affaire publique pour que "si ce n'est pas vrai, ceux qui sont accusés puissent se défendre" (if it is not true, those who are being accused can defend themselves)

[Neko]

C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.
C'est assez dommage, mais je suis persuadé que c'est loin d'être le seul système affecté par ce genre de problème gouvernemental.

[Julien Bodin]

C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.

Mais c'est toujours vrai, le code PEUT être vérifié

[Neko]

Mais c'est toujours vrai, le code PEUT être vérifié

Oui, certes, et il a même probablement été vérifié. Mais sur des codes aussi complexes qu'un noyau, cela n'est pas suffisant.

[Julien Bodin]

En fait le plus gros problème dans tout ça c'est de savoir combien d'OS ont pompé le code pour l'intégrer dans le leur.

[frp31]

parce que vous vous croyez vraiment libre et non surveillés ?

bien sur que tout est surveillé plus ou moins intensément, bien sur que tout est plus ou moins sous contrôle, bien sur qu'on est globalement assez libre mais rien de plus.

Si on veut être anonyme et libre pour de bon il faut fuir en zone très reculée, désert, forêts tropicales etc....hermites.... et surtout sans aucun moyen de communication quel qu'il soit, alors on est libre mais on est tjrs surveillable si on trouve où on est.

En découlent les questions :
Est ce acceptable ?
Est ce que les méthodes des structures sécuritaires des gouvernements sont acceptables ?
Est ce utile ?
Est ce dangereux ?
Est ce que ces surveillances et contrôles sont utilisé à bonne intelligence dans l'interêt réel des peuples ?

Les avis divergent mais globalement, oui c'est utile, par contre acceptable c'est limite. (mon avis n'engage que moi). Et c'est surtout dangereux car quelqu'un de malveillant pourrait utiliser les backdoors à des fins d'espionnage ou de terrorisme...

[srede]

Personnellement, ça ne m'étonne aboutement pas.
Et ce n'est sûrement pas le seul OS à être muni de backdoors.

Toute cette histoire ne va pas fait vraiment pas une bonne publicité pour l'open source. C'est dommage.

Par contre le code des précédentes et futures updates risquent d'être relu assez longuement et je ne serai pas surpris qu'on retrouve d'autres trucs louches...

[aliogan]

Mais comme quoi quand on nous dis open source c'est mieux pour éviter les failles, les gens peuvent relirent le code...

[10_GOTO_10]

Corollaire: si le FBI s'est intéressé à un OS qui n'est pas le plus important du marché, ça signifie que tous les autres OS ont potentiellement également des backdoors (à moins qu'il y ait une raison quelconque de s'attaquer à ce système en particulier ? )

[LeSmurf]

Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

D'un autre coté, tenir un discours du style "le FBI a inséré des backdors dans le code de BSD" provoquerait des réactions de moqueries du type "ouaiiis AHAHAH les théories du complot, les chinois du FBI, etc etc"

[minnesota]

Corollaire: si le FBI s'est intéressé à un OS qui n'est pas le plus important du marché, ça signifie que tous les autres OS ont potentiellement également des backdoors (à moins qu'il y ait une raison quelconque de s'attaquer à ce système en particulier ? )

Oui, parce qu'il est open
mais surtout parce que, en plus d'être open, il est Ben laden Software Distribution

[Molos]

Corollaire: si le FBI s'est intéressé à un OS qui n'est pas le plus important du marché, ça signifie que tous les autres OS ont potentiellement également des backdoors (à moins qu'il y ait une raison quelconque de s'attaquer à ce système en particulier ? )

Je crois qu'OpenBSD fût le premier système à avoir une implémentation libre d'IPSEC et donc que beaucoup d'autres systèmes libre ont du reprendre leur travail pour l'implémenter aussi.

[kedare]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

IPSec est une usine a gaz (du point de vue d'un admin du moins), ça doit pas être compliqué d'y camoufler un code malicieux tellement c'est complexe... Je pense pas qu'il y ai 36 milles développeurs qui comprennent ce code.

[eomer212]

FRPS, et qui te dit que des organisations comme le fbi ou la cia sont bienveillants, ou que tout autre service officiel puisse être bienveillant???
HO!! reveil..!
il ya longtemps que je suis persuadé que TOUTES les distributions de windows contiennent de trés nombreuses backdoors.. de la plus simple à la plus évoluée, qu'ils aient planifiés ce genre d'insertion dans le systéme BSD ne devrait finalement pas me surprendre, mais je ne pase pas mon temps à chercher comment nuire aux autres, mais eux, les services officiels, c'est leur métier.
il suffisait juste d'écouter l'un des dirigeants de microsoft de l'époque, qui disait avec un air trés entendu que "microsoft comprenait parfaitement les besoins des agences gouvernementales". point.
leurs besoins? entrer partout comme ils veulent sans laisser de traces.
voila, tout est dit.
maintenant, si tu veux pas être fliqué, faut faire comme al quaida.
plus rien d'electronique, tout d'homme à homme, rien d'écrit, tout est oral.

[odissey]

On devrait presque créer des comités de surveillance et de sauvegarde de l'open source avec toutes ces actualités ...

[boulet_sensei]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");

Génial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .