S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

OpenBSD : il n'y a vraisemblablement pas de portes dérobées

Il n'y aura peut-être jamais de réponse précise

openbsdLa semaine dernière, un email envoyé par un employé d’une ancienne société de sécurité avait défrayé la chronique : des portes dérobées auraient été introduites dans le code de la pile IPSec d’OpenBSD. Vent de stupeur jusqu’à ce que le père du système, Theo de Raadt, réponde avec calme que les allégations allaient être inspectées et qu’un audit de sécurité serait lancé. À ce jour, on ne compte que deux bugs, mais ils ont bien un rapport avec la sécurité.

L’audit de sécurité n’est pas terminé. Dans un email envoyé il y a deux jours par Theo de Raadt, on apprend que les deux bugs qui ont été trouvés ont bien un rapport avec la sécurité, mais ils ne donnent pas l’air d’avoir été placés là intentionnellement. Son avis est d’ailleurs qu’il serait très étonnant, après une décennie de remaniements et de corrections, que le code malveillant soit toujours en place… s’il l’a été un jour.

Il apparaît en effet qu’il sera sans doute impossible de dire exactement ce qui s’est passé. Gregory Perry n’avait évidemment pas un grand intérêt à se faire passer pour un développeur à la solde du FBI, et Theo de Raadt n’en est réduit en l’état qu’à des suppositions.

Voici pour rappel le passage révélateur de l’email initial de Perry :

« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »

Ainsi, si les allégations du développeur sont exactes, la démarche peut au final avoir été entravée ou différente de ce qu’il imaginait. Par exemple, le code peut avoir été écrit mais jamais intégré dans l’arbre principal de développement. Ou alors il l’a été, mais un remaniement ou une correction l’a plus tard éliminé. Ou encore, autre possibilité : seuls les bugs ont été placés dans la pile IPSec, le ou les développeurs ayant laissé le soin à d’autres d’introduire les fameuses portes dérobées dans des logiciels, et non dans le système proprement dit.

Son avis sur NETSEC, la société censée avoir été contactée par le FBI, semble en revanche plus appuyé : il pense qu’elle était bien sous contrat avec le bureau fédéral pour écrire des portes dérobées comme Gregory Perry l’a indiqué. Les questions qui restent en suspens concernent entre autres l’implication exacte de développeurs qui ont été en relation avec NETSEC à une époque et qui travaillent toujours sur le code d’OpenBSD à l’heure actuelle.
Source : Theo de Raadt
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 24/12/2010 à 16:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 36 commentaires

Avatar de Ricard INpactien
Ricard Le vendredi 24 décembre 2010 à 16:46:34
Inscrit le mercredi 12 avril 06 - 40920 commentaires
Mouais, étrange quand même.
Avatar de lorinc INpactien
lorinc Le vendredi 24 décembre 2010 à 16:47:03
Inscrit le lundi 19 avril 04 - 11222 commentaires
Vincent Là, c'est top.



ce qui est fortement vraissemblable, c'est que la boîte en question ait vendu du openbsd patché avec des trous, sur requête du FBI. Mais que ce code n'ait jamais été proposé pour inclusion. De toute façon, le code inclu dans openbsd est audité. Du coup, ça semblait bizarre que des trous soient passés inaperçus.

L'audit est encore en cours, mais bon. S'il doit y avoir une morale à cette histoire, c'est qu'il faut se méfier de à qui vous achetez vos solutions de sécurité...

Avatar de mumu INpactien
mumu Le vendredi 24 décembre 2010 à 16:55:22
Inscrit le jeudi 27 juillet 06 - 4791 commentaires
En tout cas, ce qu'on retiendra de cette affaire, c'est que de Raadt est un sacré bonhomme
Avatar de Canarticho INpactien
Canarticho Le vendredi 24 décembre 2010 à 17:09:56
Inscrit le mardi 1 février 05 - 2237 commentaires
En tout cas, ce qu'on retiendra de cette affaire, c'est que de Raadt est un sacré bonhomme


C'est aussi un trolleur hors pair. Bien plus fort que tout PCI réuni. Ils se tirent bien la bourre avec Linus.

Theo
Avatar de siocnarf INpactien
siocnarf Le vendredi 24 décembre 2010 à 17:13:05
Inscrit le jeudi 17 août 06 - 61058 commentaires
round 3
Avatar de lorinc INpactien
lorinc Le vendredi 24 décembre 2010 à 17:16:11
Inscrit le lundi 19 avril 04 - 11222 commentaires

C'est aussi un trolleur hors pair. Bien plus fort que tout PCI réuni. Ils se tirent bien la bourre avec Linus.

Theo


C'est clair. Si les deux débarquaient ici, je pense que Vincent démissionnerait...
Avatar de Vincent_H Equipe
Vincent_H Le vendredi 24 décembre 2010 à 17:16:53
Inscrit le jeudi 30 janvier 03 - 15419 commentaires

C'est clair. Si les deux débarquaient ici, je pense que Vincent démissionnerait...


Boah, je bloque leurs comptes...



Avatar de lorinc INpactien
lorinc Le vendredi 24 décembre 2010 à 17:20:40
Inscrit le lundi 19 avril 04 - 11222 commentaires

C'est clair. Si les deux débarquaient ici, je pense que Vincent démissionnerait...

Ils seraient foutu de mettre une backdoor dans le noyau pour se laisser une porte d'accès sur les serveurs de PCI et pouvoir troller quand même... devil.gif devil.gif
Avatar de JCDentonMale INpactien
JCDentonMale Le vendredi 24 décembre 2010 à 17:22:55
Inscrit le mardi 24 mars 09 - 1670 commentaires
Un article de qualité.
Tant mieux pour OpenBSD.
Avatar de Uther INpactien
Uther Le vendredi 24 décembre 2010 à 17:50:59
Inscrit le samedi 8 avril 06 - 224 commentaires
Ce que je trouve plus inquiétant, c'est qu'il me semble que seul OpenBSD a communiqué la dessus alors que les autre BSD semblent aussi d'éventuelles victimes, de même leur dérivés, et peut-être même d'autres OS qui ce sont servis de la pile IP de BSD comme Windows.
;