Discussion :

[Idelways]

OpenBSD : NETSEC certainement impliqué dans la tentative d'insertion de backdoors
Sur demande du FBI, mais toujours aucune trace avérée de porte dérobée

Mise à jour du 23/12/2010



Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.


Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler



Le FBI aurait payé des tiers pour insérer des backdoors dans OpenBSD
L'affaire aurait été étouffée pendant 10 ans



Un scoop explosif vient de faire son apparition sur la toile et déchaîne déjà les passions.

Un ancien contractuel du FBI vient de révéler, après 10 années de silence - et l'attente de la fin de son accord de non-divulgation - que le Bureau Fédéral des investigations américain aurait payé pendant des années des consultants pour insérer des portes dérobées (backdoors) dans le système d'exploitation Unix-like OpenBSD.

Theo de Raadt, l'un des lead-developer du système, très réputé pour sa sécurité, aurait reçu un e-mail de la part de Gregory Perryn, directeur technique de NETSEC dans les années 2000, lui confiant cette information.

Theo de Raadt vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration". Cette divulgation permettra à tout un chacun d'auditer ses infrastructures en conséquence et permettra au FBI de se défendre.

Selon Gregory Perryn, des backdoors auraient bien été insérés dans l'implémentation du standard ouvert IPsec (Internet Protocol Security) d'OpenBSD destiné à assurer des communications privées, protégées et chiffrées sur des réseaux IP.

Concrètement, IPSec est un ensemble de protocoles qui utilisent des algorithmes permettant le transport de données sécurisées sur un réseau IP.

Theo de Raadt rappelle que les retombées de ces allégations, si elles s'avéraient véridiques, ne concerneraient pas que le seul système OpenBSD, d'importantes portions de son code ont en effet été reprises dans d'autres projets et de nombreux produits.

Qu'elle soit vraie ou fausse, cette affaire a en tout cas de quoi alimenter l'imaginaire des adeptes des théories conspirationniste et des scénaristes.

Et va fournir du travail aux analystes et éditeur de sécurité.


Source : Le mail de Gregory Perry

Et vous ?

Que pensez-vous de cette affaire ?

En collaboration avec Gordon Fowler

[Flaburgan]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

[Marmot]

D'habitude, sauf soucis de performance grave, on vérifie rarement le code des librairies qu'on utilise

[SofEvans]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

J'y connais rien à OpenBSD, mais a mon avis, c'est pas 4 ligne de code qui le compose.
Et puis, le backdoor devait être subtil, ce n'etait certainement pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");

Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

J'avoue qu'au debut j'ai pensé que Wikileak y etait pour quelque chose.
Mais non ^^

[LeSmurf]

Ce genre de nouvelle n'aurai pas dû me surprendre.
Elle m'a surpris, comme quoi, même en imaginant le pire, le fait que ce soit "réel" ou tout du moins "confirmé" est diffèrent.

D'un autre coté, tenir un discours du style "le FBI a inséré des backdors dans le code de BSD" provoquerait des réactions de moqueries du type "ouaiiis AHAHAH les théories du complot, les chinois du FBI, etc etc"

[boulet_sensei]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
if (login == "backdoor" && pwd == "FBI's rules")
    openBackDoor("without vaseline");

Génial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .

[OlivierZitouni]

Génial le code ! J'ai tellement rit en le voyant que j'ai recraché mon café sur l'écran en le lisant .

Oui très bon!!

Open source c'est encore contrôlé dès la source aux USA car si vous lisez les types de licences GNU, il y a une association qui a la "paternité" du GNU
Désolé pour les explications peu claires, mais pour moi le GPL ou GNU c'est contrôlé bien avant que le FBI n'ai rajouté le code WV (without Vaseline) :-)

[Idelways]

OpenBSD : NETSEC certainement impliqué dans la tentative d'insertion de backdoors
Sur demande du FBI, mais toujours aucune trace avérée de porte dérobée

Mise à jour du 23/12/2010



Les investigations avancent sur les allégations émises la semaine dernière quant à une éventuelle insertion de portes dérobées (backdoors) dans le système OpenBSD (lire ci-avant).

Une opération qui aurait été commanditée par le FBI.

Theo de Raadt, le développeur principal du système, à l'origine de la divulgation de cette affaire (et au début plutôt sceptique), vient de rendre public un mail dans lequel il explique qu'il pense que l'entreprise NETSEC a bien été impliquée dans l'insertion de backdoors (qu'elle ait réussi est une autre histoire). Mais il souligne également qu'à son avis, ces éventuelles parties de code n'ont pas été intégrées à la base commune d'OpenBSD.

Selon les investigations lancées par De Raadt, l'entreprise NETSEC a donc effectivement eu un contrat avec le gouvernement américain, et un de ses développeurs, un dénommé Jason Wright, aurait effectivement contribué à OpenBSD.

Mais De Raadt pense que si backdoors il y a, ceux-ci ont en fait plus de chance d'avoir été intégrés dans des forks privés de OpenBSD. Autrement dit, d'après lui, peu de chance qu'ils aient affecté la version grand public de l'OS.

Mais pour en être véritablement sûr, les efforts pour auditer le code d'OpenBSD se multiplient.

Les développeurs-auditeurs n'auraient jusqu'ici trouvé que deux bugs. Des bugs mais pas de failles. Des bugs qui ne peuvent en tout cas pas être considérés comme des portes dérobées.

Quoi qu'il en soit, De Raadt positive. Il conclut que l'ensemble de cette affaire est plutôt bénéfique pour OpenBSD et sa communauté : « je suis content que les gens saisissent cette opportunité pour auditer une importante partie du code qui a longtemps été considérée comme sûre ».

« Cent fois sur le métier remettre son ouvrage », dit le dicton.


Source : le mail Theo de Raadt

Et vous ?

Êtes-vous de l'avis de Theo de Raadt qui pense que cette affaire est plutôt bénéfique pour OpenBSD ?

En collaboration avec Gordon Fowler

[trenton]

Oui très bon!!

Open source c'est encore contrôlé dès la source aux USA car si vous lisez les types de licences GNU, il y a une association qui a la "paternité" du GNU
Désolé pour les explications peu claires, mais pour moi le GPL ou GNU c'est contrôlé bien avant que le FBI n'ai rajouté le code WV (without Vaseline) :-)

J'ai rien compris.

[kedare]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

IPSec est une usine a gaz (du point de vue d'un admin du moins), ça doit pas être compliqué d'y camoufler un code malicieux tellement c'est complexe... Je pense pas qu'il y ai 36 milles développeurs qui comprennent ce code.

[ProgVal]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

Peut-être que s'il ne l'était pas, on ne s'en serait jamais aperçu

[Guile0]

Le code est open source non ? Alors pourquoi personne ne s'en est aperçu avant ?...

Si tu dis ça c'est que tu considères qu'aucun logiciel open source ne peut avoir de faille...Ce qui est une assertion complètement stupide.

[Flaburgan]

Je n'ai absolument pas dit ça. Mais j'imagine que lorsque quelqu'un participe à un projet open source, on regarde un minimum ce qu'il a écrit avant de l'inclure dans le projet en soit. Sinon je pourrais mettre une pop up au démarrage d'ubuntu indiquant que les chevreuils vont pas tarder à dominer le monde.

[Guile0]

Je n'ai absolument pas dit ça. Mais j'imagine que lorsque quelqu'un participe à un projet open source, on regarde un minimum ce qu'il a écrit avant de l'inclure dans le projet en soit. Sinon je pourrais mettre une pop up au démarrage d'ubuntu indiquant que les chevreuils vont pas tarder à dominer le monde.

J'ai quand même l'impression que tu pars toujours du principe que quand on code, on fait du code sans failles... Tu as beau relire et faire relire 1000 fois ton code il peut toujours rester des failles, surtout dans le code (surement totalement imbitable) d'IPSEC.

Un OS sans failles, ça n'existe pas (même avec un noyau BSD, et oui !)

[Flaburgan]

Je suis conscient qu'il y a toujours des failles. En l'occurrence ici ce n'est pas une faille, mais quelque chose de volontaire.

[tHE_fLAmMinG_mOE]

Visiblement révolté, Theo de Raadt, qui affirme qu'il s'agit d'un mensonge, vient de rendre l'affaire publique car il "refuse de faire partie d'une telle conspiration".

D'après la source de l'article, Theo de Raadt n'affirme pas que c'est un mensonge ! Il dit simplement qu'il rend l'affaire publique pour que "si ce n'est pas vrai, ceux qui sont accusés puissent se défendre" (if it is not true, those who are being accused can defend themselves)

[Neko]

C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.
C'est assez dommage, mais je suis persuadé que c'est loin d'être le seul système affecté par ce genre de problème gouvernemental.

[Julien Bodin]

C'est un coup dur qui va bien au delà de la simple faille de sécurité, puisqu'il met à terre un des arguments principaux de l'open source. A savoir que le code peut être vérifier.

Mais c'est toujours vrai, le code PEUT être vérifié

[Neko]

Mais c'est toujours vrai, le code PEUT être vérifié

Oui, certes, et il a même probablement été vérifié. Mais sur des codes aussi complexes qu'un noyau, cela n'est pas suffisant.

[Julien Bodin]

En fait le plus gros problème dans tout ça c'est de savoir combien d'OS ont pompé le code pour l'intégrer dans le leur.