Discussion :

[Hinault Romaric]

Espionnage : le gouvernement américain a-t-il tenté d’intégrer un backdoor dans Linux ?
La réponse de Linus Torvalds laisse planer le doute

L’ampleur de l’espionnage des services secrets américains se dévoile au fil des jours [lire le dossier de la rédaction sur PRISM].

Les documents publiés par Edward Snowden ont levé le voile sur une vaste opération de cyberespionnage donnant un libre accès aux données des géants du Web dont Google, Microsoft, Facebook ou encore Yahoo et le développement des moyens pour contourner les outils de sécurité.

Qu’en est-il de Linux ? Lors de sa keynote pendant la conférence Linuxcon qui se déroule à la Nouvelle-Orléans, Linus Torvalds, le créateur du noyau Linux s’est livré à une séance de questions/réponses au cours de laquelle il lui a été demandé s’il avait été approché par le gouvernement américain pour introduire un backdoor dans le noyau.

Après un moment de silence, Torvalds a répondu « Non », tout en hochant la tête du haut vers le bas en signe d'acquiescement. Une plaisanterie qui a provoqué l’hilarité des spectateurs. Après que le calme soit revenu, Torvalds a prononcé un « Non » ferme en secouant la tête cette fois en signe de négation.

Cette réponse énigmatique pousse néanmoins à se poser des questions, surtout que Tejun Heo, développeur chez Red Hat a rétorqué qu’il s’agissait d’un point sur lequel Linus Torvalds ne pouvait pas parler.

Il faut noter que les entreprises sont tenues par le secret en ce qui concerne les demandes du gouvernement américain. Microsoft, Google, Yahoo! et Facebook ont attaqué sans succès le gouvernement en justice pour obtenir le droit de divulguer les informations sur les requêtes des services secrets.

Selon plusieurs rapports, la NSA et le FBI auraient déjà approché des développeurs et plusieurs entreprises pour intégrer des backdoor dans des outils de sécurité ou pour contourner les mesures de protection (SSL, VPN) couramment utilisées par les internautes.

Le gouvernement américain a-t-il approché Linus Torvalds pour ajouter un backdoor à Linux ? A chacun de tirer ses conclusions.

Source : Linuxcon 2013

[6-MarViN]

Donc si je résume la news, Torvalds a fait une vanne a la Linuxcon. Voila.

Non mais sans déconner, sois y'a une information à faire passer soit on fait pas de news.

[Carhiboux]

L'information, dans ce cas, c'est que l'Oncle Sam empêche les gens de dire la vérité sur leurs opérations clandestines.

Pour ma part, je trouve cette news plus instructive que certaines pubs à peine déguisées pour Apple, Microsoft ou Oracle que l'on lit régulièrement ici.

[Uranne-jimmy]

Une surveillance sur les système d'exploitation ? c'est nouveau ça ? Et pourquoi linux serait dans ce cas le seul touché par ce virus (parce que oui, le NSA c'est un virus, un malware, tout ce que vous voulez mais une calamité, pour sûr).

[diallomad]

Certains journalistes confondent fiction et réalité lorsqu'on parle des services secrets américains.
Introduire un backdoor dans le kernel au su et au vu des centaines de développeurs qui bossent dessus.

[alex_vino]

Pour ma part, je trouve cette news plus instructive que certaines pubs à peine déguisées pour Apple, Microsoft ou Oracle que l'on lit régulièrement ici.

Vrai, mais comme "Actualité" il y a quand meme mieux et surtout plus important...
Du moins l'article pourrait en tirer les conclusions et élargir, au lieu de cela on peux résumer en un "non" et un "hochement de tete", pas vraiment instructif et surtout dénué de fil directeur pour approfondir, c'est peut-etre la raison que les actualités "publicitaires" ou non utiles n'attirent plus les discussions ou se transforment en troll...

[Chauve souris]

Effectivement si l'hypothèse est vraie, les petits futés qui s'imaginent que sous Linux ils sont "secure" (pour causer d'jeun'z) risquent de l'avoir "in the ass depth" (pour causer le vocable préféré des howto linuxiens). Toutefois, même si ce n'est pas impossible, il est beaucoup plus difficile de dissimuler cela dans un système ouvert où le code est public. Difficile mais pas impossible. J'imagine qu'en ce moment des centaines de super experts Linux sont en train d'éplucher le code pour savoir ce qu'il en est réellement. Attendons leur verdict.

[Sirus64]

Pour créer une / des backdoors, il "suffit" de laisser des bugs difficiles à détecter et à les exploiter : difficile de savoir si c'est fait intentionnellement ou pas.

[GTSLASH]

le gouvernement américain a-t-il tenté d'intégrer un backdoor dans Linux ?

Il y a une faute d’orthographe. Il ne faut pas de point d’interrogation car ce n'est même plus une question

[GTSLASH]

Et pourquoi linux serait dans ce cas le seul touché par ce virus

Car les autres sont des sociétés commerciale et qu'elle vivent de la vente de leurs logiciel/OS.

Si la preuve serait faite pas un journaliste ou autre qu'ils distribuent dans leur produit du code fournis par un gouvernement, ils ne vendrait plus leurs produit et donc se serait la fin de leur activité.

[Sirus64]

Comment penser sérieusement qu'il n'y a pas de backdoor dans les produits autant commerciaux que libre ??

[alex_vino]

Si la preuve serait faite pas un journaliste ou autre qu'ils distribuent dans leur produit du code fournis par un gouvernement, ils ne vendrait plus leurs produit et donc se serait la fin de leur activité.

Idem pour Linux, je ne suis pas sur que s'il est avéré qu'ils obéissent a la NSA améliorera leur image et produits.
Par ailleurs qui te dit que la NSA (ou d'autres) n'ont pas imposé des backdoor dans Windows et Mac? De plus une backdoor sera plus facile a camoufler dans ses systemes. Pour ces entreprises qui brassent de l'argent et font aussi rapporter beaucoup aux USA on est en droit de penser qu'il y a des échanges et dessous de table entre le pays et ces multinationales américaines. Si Linux a implémenté des backdoor je doute fort que les concurents n'en auraient pas.
Ce serait tout de meme plus facile pour les américains d'espionner, d'autant plus que maintenant beaucoup de nouveaux projets sont dans le Cloud.

N'oublions pas Stuxnet, Flame, Duqu... les USA ont déja montré qu'ils savent agir a grande échelle sans forcément connaitre les retours de manivelle possible.

[Carhiboux]

Car les autres sont des sociétés commerciale et qu'elle vivent de la vente de leurs logiciel/OS.

Les "autres" comme tu dit, commercialisent des solutions fermées. Donc tu n'as pas accès au code. Donc tu peux spéculer tant que tu veux, mais tu ne peux rien vérifier les concernant.

A contrario, le code de la plupart des distribs linux est ouvert, donc tu peux très bien aller vérifier par toi même (enfin ceux qui comprennent le code le peuvent, moi je comprends pas le but ou l'utilité d'une ligne sur deux, je l'avoue sans détour! ).

Donc c'est en effet plus difficile de cacher une backdoor dans linux, mais pas impossible comme dit précédemment.

Si la preuve serait faite pas un journaliste ou autre qu'ils distribuent dans leur produit du code fournis par un gouvernement, ils ne vendrait plus leurs produit et donc se serait la fin de leur activité.

Si la preuve était faite (mes yeux vont mieux tout de suite...)

Mais c'est justement là que le fait que les "autres" soient fermé est merveilleux! Comme le code est fermé, très peu de gens y ont accès. A priori quasi que des employés de ces entreprises. Et peut être même qu'ils ne sont qu'une poignée à avoir accès à tous les pans de code (et donc à pouvoir tout vérifier). Alors dans des cas comme ça, suffirait d'un seul complice pour mettre une backdoor. La direction pourrait ne même pas être au courant... et démentir en toute bonne foi!

[Battant]

Bonjour,

Franchement, même si torvalde n'avais pas le droit de dire s'il était en contact avec la NSA ou pas, il faut qu'il le dise même chose pour apple et microsoft. Il faut que ça se sache quitte à ce qu'il y ait des procès après. Mais au moment du procès, l'info sera connu et ça sera trop tard pour la NSA. Si ça continue, on peut se demander a qui confier ces données pour qu'elles reste privées et ne tombe pas dans les mains de pirate comme la NSA. Car oui, Ce sont des pirate, il me font peur, je ne sais pas ce qu'il savent sur moi même si c'est pas demains que j'irais aux USA.

En ce qui concerne le chiffrement des données, je m'était fait un certificat de sécurité auprès de thawte avant les attentats du mardi 11 sepembre 20001. J'avais proposé à un ami d'en faire de mêmes pour communiquer par mail de manière sécurisée.

Cet ami informaticien n'était pas convaincu et m'avais proposé pgp.

Qu'en pensez-vous ?

Cette page est-elle fiable ?

http://prism-break.org/

Merci pour votre réponse ?

Salutations

[alex_vino]

En ce qui concerne le chiffrement des données, je m'était fait un certificat de sécurité auprès de thawte avant les attentats du mardi 11 sepembre 20001.

Désolé mais nous ne vivons pas a la meme époque

Plus sérieusement il y a sécurité et paranoia. Je ne suis pas sur que les emails des Mr et Mme Tout le monde soit si confidentiels. Si tu fait attention Google comme beaucoup d'autres des technologies misent tout sur la sécurité (authentification a deux facteurs, envoie a un ami, IP non-reconnue...), va sur le site de ta banque, regarde la sécurité et on en reparlera.

[Carhiboux]

Tu oublie que se mettre à dos la NSA, c'est se mettre à dos une bonne partie du monde...

Regarde Julian Assange, Bradley Mannings ou bien Edward Snowden.

T'as beau savoir des trucs, quand tu vois le sort qui leur est réservé, tu te poses sérieusement la question de savoir si oui ou non tu vas décider d'ouvrir ta grande bouche... Même si tu t'appelles Linus Torvalds...

[Itachi_93]

Je vous conseil de rechercher ces mots clés : "Strange Loops: Ken Thompson and the Self-referencing C Compiler" "SELinux" "NSA"
Assez intéressant.

[frp31]

Une surveillance sur les système d'exploitation ? c'est nouveau ça ? Et pourquoi linux serait dans ce cas le seul touché par ce virus (parce que oui, le NSA c'est un virus, un malware, tout ce que vous voulez mais une calamité, pour sûr).

sur le principe : parce que linux est très présent aussi dans les routeurs et autres équipements points d'entrée, equilibreurs de charges, proxys etc....

donc très très interessant pour quiconque voudrai voir ce qui passe sur les réseau...

parce que aussi les couches de cryptage et de sécurité des unix au sens large, peuvent géner le renseignement...

voilà pour la théorie du pourquoi cibler linux.

[frp31]

après avoir lu plusieures sources sur le sujet, notamment étrangères, il semble bien que c'est pas une news mais le renouveau d'une idée potentielle réelle mais non discutée de façon officielle, ou actée.

[Sirus64]

Je vous conseil de rechercher ces mots clés : "Strange Loops: Ken Thompson and the Self-referencing C Compiler" "SELinux" "NSA"
Assez intéressant.

Comme tu le fais remarquer indirectement (http://scienceblogs.com/goodmath/200...nis-ritchie-a/) le problème du compilateur et de l'injection de code est très complexe et reviens au problème de preuve de programme : comment compiler un programme prouvé : en utilisant un compilateur prouvé, comment prouver un compilateur en le compilant avec un compilateur prouvé etc.