S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

OpenBSD : il n'y a vraisemblablement pas de portes dérobées

Il n'y aura peut-être jamais de réponse précise

openbsdLa semaine dernière, un email envoyé par un employé d’une ancienne société de sécurité avait défrayé la chronique : des portes dérobées auraient été introduites dans le code de la pile IPSec d’OpenBSD. Vent de stupeur jusqu’à ce que le père du système, Theo de Raadt, réponde avec calme que les allégations allaient être inspectées et qu’un audit de sécurité serait lancé. À ce jour, on ne compte que deux bugs, mais ils ont bien un rapport avec la sécurité.

L’audit de sécurité n’est pas terminé. Dans un email envoyé il y a deux jours par Theo de Raadt, on apprend que les deux bugs qui ont été trouvés ont bien un rapport avec la sécurité, mais ils ne donnent pas l’air d’avoir été placés là intentionnellement. Son avis est d’ailleurs qu’il serait très étonnant, après une décennie de remaniements et de corrections, que le code malveillant soit toujours en place… s’il l’a été un jour.

Il apparaît en effet qu’il sera sans doute impossible de dire exactement ce qui s’est passé. Gregory Perry n’avait évidemment pas un grand intérêt à se faire passer pour un développeur à la solde du FBI, et Theo de Raadt n’en est réduit en l’état qu’à des suppositions.

Voici pour rappel le passage révélateur de l’email initial de Perry :

« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »

Ainsi, si les allégations du développeur sont exactes, la démarche peut au final avoir été entravée ou différente de ce qu’il imaginait. Par exemple, le code peut avoir été écrit mais jamais intégré dans l’arbre principal de développement. Ou alors il l’a été, mais un remaniement ou une correction l’a plus tard éliminé. Ou encore, autre possibilité : seuls les bugs ont été placés dans la pile IPSec, le ou les développeurs ayant laissé le soin à d’autres d’introduire les fameuses portes dérobées dans des logiciels, et non dans le système proprement dit.

Son avis sur NETSEC, la société censée avoir été contactée par le FBI, semble en revanche plus appuyé : il pense qu’elle était bien sous contrat avec le bureau fédéral pour écrire des portes dérobées comme Gregory Perry l’a indiqué. Les questions qui restent en suspens concernent entre autres l’implication exacte de développeurs qui ont été en relation avec NETSEC à une époque et qui travaillent toujours sur le code d’OpenBSD à l’heure actuelle.
Source : Theo de Raadt
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 24/12/2010 à 16:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 36 commentaires

Avatar de Z Ero INpactien
Z Ero Le vendredi 24 décembre 2010 à 18:02:02
Inscrit le dimanche 7 novembre 10 - 2994 commentaires

Boah, je bloque leurs comptes...




Avatar de Elsiko INpactien
Elsiko Le vendredi 24 décembre 2010 à 18:24:57
Inscrit le jeudi 3 juillet 08 - 5385 commentaires
Dans 10 ans:
Le FBI aurait fait pression pour changer le résultat d'un audit de sécurité lancé sur la pile IpSEC il y a 10 ans.

Avatar de Cyber_zergo INpactien
Cyber_zergo Le vendredi 24 décembre 2010 à 19:26:52
Inscrit le vendredi 10 octobre 08 - 1167 commentaires
Bon désolé je connait pas du tout open bsd. M'enfin logiquement c'est un os comme un autre non ? Du coup le truc du "on fé un audit pk le monsieur il a dit il y a une faille " c'est un peu limite

Après tout dépend ce que veut dire "audit de sécurité". Mais si c'est lancer une banale moulinette pour détecter le bug, bof bof
Avatar de Inny INpactien
Inny Le vendredi 24 décembre 2010 à 19:37:40
Inscrit le lundi 17 août 09 - 2817 commentaires
Dans 10 ans:
Le FBI aurait fait pression pour changer le résultat d'un audit de sécurité lancé sur la pile IpSEC il y a 10 ans.




Au minimum, toute cette histoire aura servi à trouver ces deux failles.
Avatar de JCDentonMale INpactien
JCDentonMale Le vendredi 24 décembre 2010 à 20:00:14
Inscrit le mardi 24 mars 09 - 1671 commentaires
Bon désolé je connait pas du tout open bsd. M'enfin logiquement c'est un os comme un autre non ? Du coup le truc du "on fé un audit pk le monsieur il a dit il y a une faille " c'est un peu limite

Après tout dépend ce que veut dire "audit de sécurité". Mais si c'est lancer une banale moulinette pour détecter le bug, bof bof

La sécurité chez OpenBSD est considérée comme tout sauf bof bof
Avatar de JCDentonMale INpactien
JCDentonMale Le vendredi 24 décembre 2010 à 20:02:37
Inscrit le mardi 24 mars 09 - 1671 commentaires
Ce que je trouve plus inquiétant, c'est qu'il me semble que seul OpenBSD a communiqué la dessus alors que les autre BSD semblent aussi d'éventuelles victimes, de même leur dérivés, et peut-être même d'autres OS qui ce sont servis de la pile IP de BSD comme Windows.


Exact, ce silence est bien étrange ! Quelque chose à cacher peut être ?
Avatar de pti_pingu INpactien
pti_pingu Le vendredi 24 décembre 2010 à 20:04:51
Inscrit le jeudi 15 janvier 09 - 9594 commentaires
Bon désolé je connait pas du tout open bsd. M'enfin logiquement c'est un os comme un autre non ? Du coup le truc du "on fé un audit pk le monsieur il a dit il y a une faille " c'est un peu limite

Après tout dépend ce que veut dire "audit de sécurité". Mais si c'est lancer une banale moulinette pour détecter le bug, bof bof


Ca dépend du consultant ou du cabinet:
-Genre un Verizon ou un Deloitte, hum hum, à ça pour marketer ça y va, sur le terrain c'est une autre histoire ;
-Mais avec ces cryptocommunistes de Barbus (enfin le Theo est plus proche de Yul Brunner que de Stallman ), ils sont capable de tout de dépiauter.

Pour info, y'a pas mal de méthodologies en audit sécurité qui existent et qui sont en général utilisable en amont (encadrement de projet et gestion du cycle de développement) et en aval (audit et revue). Ex. OWASP pour les applications web. Maintenant je t'avouerai que dans le cadre d'application spécifique, c'est l'expérience du consultant/auditeur qui joue.

Maintenant, le principe de la revue de code sur OS ne dispose pas de méthode à proprement parler. Par contre, en te basant sur des certifications tel que Common Criteria (ISO 15408) et sur des Profiles de Protections (pour résumer un PP représente un ensemble de conditions minimales pour atteindre un niveau données de confidence -désolé y'a pas de termes français adéquat pour traduire confidence, disons que c'est une sorte d'assurance-) appliqués à la certification d'OS, tu peux définir quels sont les conditions minimales devant être validée par une revue de code pour certifiée le niveau de confidence.
Pour résumé, dans le cadre de BSD, il dispose en toute logique d'une certification EAL (Evaluation Assurance Level) qui a été atteinte sur base de contrôles déterminés sur le code. Il est donc possible de réappliquer le processus à l'inverse pour aller explorer le code.
Avatar de XTuxelite INpactien
XTuxelite Le vendredi 24 décembre 2010 à 20:54:01
Inscrit le mardi 1 avril 08 - 75 commentaires


Au minimum, toute cette histoire aura servi à trouver ces deux failles.



Non. Deux bugs ;) C'est totalement différent :)
Avatar de Uther INpactien
Uther Le vendredi 24 décembre 2010 à 22:40:09
Inscrit le samedi 8 avril 06 - 224 commentaires
Bon désolé je connait pas du tout open bsd. M'enfin logiquement c'est un os comme un autre non ? Du coup le truc du "on fé un audit pk le monsieur il a dit il y a une faille " c'est un peu limite

Après tout dépend ce que veut dire "audit de sécurité". Mais si c'est lancer une banale moulinette pour détecter le bug, bof bof
En effet tu ne connais visiblement pas OpenBSD qui est clairement l'OS le plus parano niveau sécurité qui n'a pas attendu cette affaire pour faire des audits de sécurité systématiques et rigoureux de son code.

Pour OpenBSD la sécurité est clairement une grosse priorité: leur slogant est "Seulement deux vulnérabilités à distance dans l'installation par défaut, depuis diablement longtemps !", diablement longtemps correspondant à l'heure actuelle à 13 ans.
Avatar de Uther INpactien
Uther Le vendredi 24 décembre 2010 à 23:04:03
Inscrit le samedi 8 avril 06 - 224 commentaires
*erreur*

Edité par Uther le vendredi 24 décembre 2010 à 23:04
;