La semaine dernière, nous nous sommes fait l’écho d’une histoire peu courante. Theo de Raadt, le père d’OpenBSD, faisait suivre un courrier électronique dans lequel un développeur impliqué dans la couche de protection IPSec indiquait que le FBI lui avait demandé de laisser des backdoors. L’information avait fait rapidement le tour du web, et de Raadt avait alors conclu en expliquant qu’un audit de sécurité commençait sur le champ. Jusqu’à présent, deux failles ont déjà été mises en avant.Le développeur en question, Gregory Perry, semble donc avoir dit vrai. Il était au début de la décennie le directeur technique de la société NETSEC. Cette dernière était impliquée dans le développement du projet BSD, duquel sont issues les célèbres déclinaisons FreeBSD, OpenBSD ou encore NetBSD. Plus exactement, NETSEC participait aux travaux sur la couche IPSec, qui apporte des mécanismes de sécurité au protocole IP. Or, cette même couche IPSec est aujourd’hui reprise dans d’autres systèmes d’exploitation.
Durant les années 2000 et 2001, le FBI aurait demandé à NETSEC d’intégrer dans la couche IPSec des portes dérobées. Gregory Perry avait accepté la mission, en signant au passage une clause de non-divulgation (NDA) d’une durée de dix ans. La période est terminée, et Gregory Perry a en conséquence envoyé un email à Theo de Raadt. Ce dernier a publié ce courrier sur la mailing list publique des développeurs d’OpenBSD, et le passage révélateur était le suivant :
« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »
Theo de Raadt n’a pas, dans un premier temps, pris le contenu de l’email pour argent comptant. Un audit complet de sécurité a été lancé à travers toute la pile IPSec. À ce jour, deux failles ont été trouvées dans le code responsable du chiffrement des données. De Raadt a indiqué au magazine ITwire :« Nous avons audité depuis l’arrivée de l’email ! Nous avons déjà trouvé deux bugs dans notre code de chiffrement des données. Nous mesurons actuellement l’impact, ainsi que l’aspect « archéologique » de tout ceci… »
Cependant, le contenu exact de ces failles reste encore à connaître. S’il s’agit bien de bugs introduits volontairement, pour provoquer par exemple des dépassements de mémoire tampon, cela reste encore à prouver. Maintenant, on peut se poser la question : pourquoi ces bugs, s’ils sont là depuis une décennie, n’ont-ils pas été trouvés rapidement ?
Il faut savoir que le code de la pile IP, et surtout de sa couche IPSec, a été remanié et corrigé plusieurs fois. Theo de Raadt l’indiquait encore la semaine dernière, ce qui sous-entendait malheureusement un constat négatif : malgré toutes ces modifications et le processus de développement des systèmes BSD très axé sur la sécurité, ces bugs sont restés invisibles. Certains demanderont pourquoi tout cela n’a-t-il pas été fait dans la discrétion, mais Theo de Raadt est justement connu pour jouer la carte de la transparence complète.
Gregory Perry avait cité deux noms dans son email : Scott Lowe et Jason Wright. En outre, plusieurs autres développeurs, dont Angelos Keromytis, de la société NetSec, impliquée dans les demandes du FBI en 2000, apparaissent connectés à l’affaire et plus particulièrement à Jason Wright. Ces deux derniers nient jusqu’à présent toute participation à la création des bugs trouvés.
À ce sujet, Theo de Raadt a indiqué à nos confrères : « Jusqu’à il y a deux jours, je n’avais pas la moindre idée que Jason et Angelos avaient travaillé pour une société qui a ce genre d’activité. Et c’est vrai, ouah, cette société avait réellement ce genre d’activité ! Ils appartiennent maintenant à Verizon. Nous avons découvert qu’Angelos (notre développeur ipsec) avait également travaillé pour cette société via un contrat. L’email indiquait bien qu’il ne s’agissait pas que de Jason. »
En 2006, NetSec a été rachetée par Verizon, ce qui complique la situation. Dans tous les cas, si les faits sont avérés, personne ne se vantera d’avoir participé à la mise en place volontaire de failles de sécurité dans le code ce qui est considéré comme l’un des produits les plus sécurisés au monde.
