OpenBSD : il n'y a vraisemblablement pas de portes dérobées

Il n'y aura peut-être jamais de réponse précise 36
openbsdLa semaine dernière, un email envoyé par un employé d’une ancienne société de sécurité avait défrayé la chronique : des portes dérobées auraient été introduites dans le code de la pile IPSec d’OpenBSD. Vent de stupeur jusqu’à ce que le père du système, Theo de Raadt, réponde avec calme que les allégations allaient être inspectées et qu’un audit de sécurité serait lancé. À ce jour, on ne compte que deux bugs, mais ils ont bien un rapport avec la sécurité.

L’audit de sécurité n’est pas terminé. Dans un email envoyé il y a deux jours par Theo de Raadt, on apprend que les deux bugs qui ont été trouvés ont bien un rapport avec la sécurité, mais ils ne donnent pas l’air d’avoir été placés là intentionnellement. Son avis est d’ailleurs qu’il serait très étonnant, après une décennie de remaniements et de corrections, que le code malveillant soit toujours en place… s’il l’a été un jour.

Il apparaît en effet qu’il sera sans doute impossible de dire exactement ce qui s’est passé. Gregory Perry n’avait évidemment pas un grand intérêt à se faire passer pour un développeur à la solde du FBI, et Theo de Raadt n’en est réduit en l’état qu’à des suppositions.

Voici pour rappel le passage révélateur de l’email initial de Perry :

« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »

Ainsi, si les allégations du développeur sont exactes, la démarche peut au final avoir été entravée ou différente de ce qu’il imaginait. Par exemple, le code peut avoir été écrit mais jamais intégré dans l’arbre principal de développement. Ou alors il l’a été, mais un remaniement ou une correction l’a plus tard éliminé. Ou encore, autre possibilité : seuls les bugs ont été placés dans la pile IPSec, le ou les développeurs ayant laissé le soin à d’autres d’introduire les fameuses portes dérobées dans des logiciels, et non dans le système proprement dit.

Son avis sur NETSEC, la société censée avoir été contactée par le FBI, semble en revanche plus appuyé : il pense qu’elle était bien sous contrat avec le bureau fédéral pour écrire des portes dérobées comme Gregory Perry l’a indiqué. Les questions qui restent en suspens concernent entre autres l’implication exacte de développeurs qui ont été en relation avec NETSEC à une époque et qui travaillent toujours sur le code d’OpenBSD à l’heure actuelle.
Publiée le 24/12/2010 à 16:20 - Source : Theo de Raadt
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité