Coup de tonnerre dans le monde de l’informatique et d’UNIX. Des révélations faites par un ancien responsable technique d’une société indiquent que le FBI aurait intégré dans le code du projet BSD un certain nombre de portes dérobées, permettant ainsi à ceux qui savaient les trouver comment espionner l’activité des serveurs. Historique d’une révélation fracassante.L'homme du scandale
Gregory Perry était au début de la décennie le directeur technique de la société NETSEC. Cette dernière était impliquée dans le développement du projet BSD, duquel sont issues les célèbres déclinaisons FreeBSD, OpenBSD ou encore NetBSD. Plus exactement, NETSEC participait aux travaux sur la couche IPSec, qui apporte des mécanismes de sécurité au protocole IP. Or, cette même couche IPSec est aujourd’hui reprise dans d’autres systèmes d’exploitation.
Durant les années 2000 et 2001, le FBI aurait demandé à NETSEC d’intégrer dans la couche IPSec des portes dérobées. Gregory Perry avait accepté la mission, en signant au passage une clause de non-divulgation (NDA) d’une durée de dix ans. La période est terminée, et Gregory Perry a en conséquence envoyé un email à Theo de Raadt, créateur et chef des projets OpenBSD, OpenSSH, OpenNTPD et OpenBGPD.
Le passage important est celui-ci :
« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »
Theo de Raadt lance la chasse publiquement
L’arrêt du financement de la DARPA est intervenu en 2003. Cette année-là, Theo de Raadt avait désapprouvé publiquement l’occupation de l’Irak par les États-Unis. Cette aide se chiffrait en millions de dollars et avait déjà été versée. L’agence avait donc réclamé le remboursement de la somme. Le manque de clarté entourant la fin de cette subvention avait provoqué de nombreuses critiques, notamment en regard de la liberté d’expression. D’autant que la décision était intervenue juste avant le concours « hackaton ».
Cet email révélateur fut publié ensuite par Theo de Raadt dans la mailing list officielle d’OpenBSD, le rendant du même coup public.
« Nous présumons que plusieurs anciens développeurs (et les sociétés pour lesquelles ils ont travaillé) ont accepté de l’argent du gouvernement américain pour introduire des portes dérobées dans notre pile réseau. Puisque nous avions la première pile IPSec disponible gratuitement, de grandes parties du code se retrouvent maintenant dans bien d’autres projets et produits. En plus de dix ans, le code IPSec est passé au travers de bien des changements et corrections, et l’impact réel de ces allégations n’est donc pas clair à mesurer. »
De fait, si les révélations de Gregory Perry s’avèrent fondées, plusieurs conséquences négatives vont s’abattre. Premièrement, la réputation de sécurité des serveurs utilisant des variantes de BSD n’est plus à faire. Seulement voilà, si les développeurs trouvent les fameuses portes dérobées au sein du code, cela signifiera qu’elles seront restées indétectées pendant une décennie, et ce en dépit des multiples remaniements du code. Deuxièmement, il est difficile de déterminer combien d’autres produits ont repris la couche IPSec incriminée, mais ils sont potentiellement tous touchés par les backdoors.
La communauté OpenBSD est maintenant en pleine recherche, et on attend donc les résultats. Au final, peut-être que Gregory Perry aura été inspiré par l'aventure Wikileaks.
![[MàJ] Rachat d’Activision par Microsoft (avec Ubisoft) : pour la CMA, « le nouvel accord répond aux préoccupations »](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/10172.jpg)
