Mai 2013
Un système espion du FBI dans OpenBSD ? [MàJ]
par Anthony Nelzin le 17.12.2010 à 20:50
C'est la polémique qui secoue le monde du libre ces derniers jours : le Federal Bureau of Investigation (FBI) aurait commissionné des développeurs pour implanter des portes dérobées dans OpenBSD il y a une dizaine d'années de cela. En français, cela veut dire que la distribution BSD qui se veut être la plus sécurisée pourrait en fait contenir des dispositifs permettant à l'antiterrorisme et au contre-espionnage américain d'intercepter des communications.Cette révélation vient de Theo de Raadt lui-même, le fondateur d'OpenBSD et d'OpenSSH : il rend public un courriel que lui a adressé Gregory Perry, ancien directeur de la technologie de NetSec (depuis acquis par Verizon Business Security). Dans ce courriel, Perry explique qu'il y a dix ans le FBI aurait payé des développeurs pour introduire des portes dérobées et des mécanismes de récupération de clefs dans le framework cryptographique d'OpenBSD (un outil facilitant la mise en place de processus de chiffrement des données).
Il a à l'époque signé une clause de confidentialité : celle-ci ayant expiré, il est donc libre d'informer la communauté OpenBSD de cette faille, et en profite pour nommer certains de ses collègues chez NetSec dont les services auraient aussi été requis par le FBI. Theo de Raadt a donc demandé un audit de l'intégralité des soumissions de code effectuées par les personnes incriminées — on y trouve notamment des employés d'agences gouvernementales américaines.
Tel que le mécanisme aurait été mis en place, il permet au FBI de déchiffrer des communications chiffrées dans un tunnel IPSec, c'est-à-dire dans le cadre de communications entre sites. Selon Perry, il ne faudrait pas chercher plus loin pour expliquer pourquoi le FBI recommande explicitement OpenBSD pour les pare-feu et le VPN (réseau virtuel privé) : il pourrait sans peine s'infiltrer dans ces applications extrêmement privées et extrêmement sécurisées.
Cette affaire est un nouveau coup dur pour OpenBSD, dont le système d'audit de code a déjà été mis en défaut ces dernières années : alors qu'elle est la deuxième distribution BSD la plus populaire et celle qui se veut être la plus axée sur la sécurité, on se demande comment une telle « backdoor » a pu survivre dix ans, au point que l'on pourrait douter de sa véracité, ce que seule l'étude du code pourra confirmer.
C'est aussi un coup dur pour la communauté du libre en général, qui va passer des moments difficiles à justement vérifier le code : les mécanismes en question auraient notamment été repris par FreeBSD, la distribution BSD la plus populaire, notamment employée sur tous les serveurs de Yahoo! pour ne citer qu'un client. Il se pourrait que Mac OS X soit affecté, ainsi que de nombreux systèmes de chiffrement qui ont repris le code cryptographique d'OpenBSD, un des plus anciens et des plus réputés.
Elle risque aussi de provoquer de nouvelles tensions autour du FBI, agence gouvernementale américaine controversée pour ses méthodes atypiques et son mandat extrêmement large, du contre-espionnage à l'antiterrorisme en passant par les renseignements généraux ou la criminalité financière. D'autres agences américaines s'entendent pourtant plutôt bien avec le monde du libre : la NSA (National Security Agency, renseignement d'origine électromagnétique) a développé le module de sécurité SELinux publié sous licence GPL. Quant à la DARPA (Defense Advanced Research Projects Agency, agence de recherche et développement de l'armée américaine, à qui l'on doit pêle-mêle le GPS ou ARPANET), elle avait justement envisagé d'utiliser OpenBSD : Perry est sûr et certain que le projet a capoté au dernier moment à cause de l'existence de ces portes dérobées.
[MàJ] Jason Wright, une des personnes nommées par Gregory Perry et désormais employée par une agence gouvernemantale, le Idaho National Laboratory (nucléaire), dément formellement ces accusations. Il affirme n'avoir jamais « ajouté de portes dérobées à OpenBSD », et demande même « des excuses de la part de Greg Perry ».
Il relègue cette affaire à « une légende urbaine », affirmant que les alléguations de Perry ne tiennent pas face à une étude précise de la chronologie des événements (il aurait quitté NetSEC avant 2000). Bref, affaire à suivre…
|
5
4
3
2
1
Vos réactions (68 réactions)
bugman
[16/12/2010 16:55]
Je ne comprend pas ! On ne peut pas avoir les sources d'OpenBSD ?
Je ne comprend pas ! On ne peut pas avoir les sources d'OpenBSD ?
AroBreizh
[16/12/2010 16:57]
'culés !!!!!!!!!!!!!!!!
'culés !!!!!!!!!!!!!!!!
Leced
[16/12/2010 16:58]
Finalement, elle avait raison, la dame. Les chinois du FBI surveillent bien son iMac...
http://fonzy.free.fr/hotline%20apple.wav
Finalement, elle avait raison, la dame. Les chinois du FBI surveillent bien son iMac...
http://fonzy.free.fr/hotline%20apple.wav
ssssteffff
[16/12/2010 17:06]
via MacG Mobile
Bugman> si mais c'est très long d'analyser ca, et le problème est qu'on est dans l'incertitude la plus complète : y a-t-il vraiment eu une backdoor, est-elle toujours active ou existe-t-elle toujours ??
Et analyser du code n'est pas si simple qu'il n'y parait.
Au passage, la pile IPSec a été réutilisée par de nombreux systèmes, dont Windows...
Bugman> si mais c'est très long d'analyser ca, et le problème est qu'on est dans l'incertitude la plus complète : y a-t-il vraiment eu une backdoor, est-elle toujours active ou existe-t-elle toujours ??
Et analyser du code n'est pas si simple qu'il n'y parait.
Au passage, la pile IPSec a été réutilisée par de nombreux systèmes, dont Windows...
bugman
[16/12/2010 17:09]
@ Leced : C'est vrai que l'on ne s'en lasse pas ce celle là : "il est choux garantie !"
@ Leced : C'est vrai que l'on ne s'en lasse pas ce celle là : "il est choux garantie !"
AmoCrea
[16/12/2010 17:09]
bugman > En fait c'est bien là la limite de l'Open Source... Le code a beau être ouvert, il est tellement gigantesque qu'il serait inhumain de pouvoir le lire et le comprendre gloablement.
Ca limite un peu l'argument "le libre c'est plus sûr vu que l'on voit le code", mais comment ce code a été repris par Windows et Mac OS, ce backdoor a pu se répandre dans les autres systèmes...
bugman > En fait c'est bien là la limite de l'Open Source... Le code a beau être ouvert, il est tellement gigantesque qu'il serait inhumain de pouvoir le lire et le comprendre gloablement.
Ca limite un peu l'argument "le libre c'est plus sûr vu que l'on voit le code", mais comment ce code a été repris par Windows et Mac OS, ce backdoor a pu se répandre dans les autres systèmes...
BitNic
[16/12/2010 17:18]
C'est comme chez moi, j'ai l'impression d'être espionné dans.... mes WC !!! Ça doit être aussi un coup du FBI. J'ai beau chercher, je ne trouve pas de porte dérobée sur... ce monde parallèle !!!Houuuuu j'vais aller voir mon médecin je crois.... ;-)
C'est comme chez moi, j'ai l'impression d'être espionné dans.... mes WC !!! Ça doit être aussi un coup du FBI. J'ai beau chercher, je ne trouve pas de porte dérobée sur... ce monde parallèle !!!Houuuuu j'vais aller voir mon médecin je crois.... ;-)
Arnaud de Brescia
[16/12/2010 17:19]
Information incomplète et n'entretenant que le FUD si on ne fait pas mention de la réponse de Jason L. Wright, mis en cause pas Perry dans son mail à De Raadt.
http://marc.info/?l=openbsd-tech&m=129244045916861&w=2
Information incomplète et n'entretenant que le FUD si on ne fait pas mention de la réponse de Jason L. Wright, mis en cause pas Perry dans son mail à De Raadt.
http://marc.info/?l=openbsd-tech&m=129244045916861&w=2
Osborne
[16/12/2010 17:25]
Mais que fait Fox Mulder ?
Mais que fait Fox Mulder ?
Gr3gZZ
[16/12/2010 17:25]
1) Actuellement personne ne sais si c'est info est véridique
2) Une backdoor est quasi impossible à débusquer, il se peut par exemple qu'elle se confonde avec un crash
3) Ceux qui critiquent le code open source me font bien rire, si par exemple il y à une bakcdoor dans cette partie de bsd, je n'ose imaginer ce que peut contenir windows et compagnie ou le code est innacessible, là vu que le code est open sources des équipes, des gens sont en train de rehcercher les soit disant backdoor.
1) Actuellement personne ne sais si c'est info est véridique
2) Une backdoor est quasi impossible à débusquer, il se peut par exemple qu'elle se confonde avec un crash
3) Ceux qui critiquent le code open source me font bien rire, si par exemple il y à une bakcdoor dans cette partie de bsd, je n'ose imaginer ce que peut contenir windows et compagnie ou le code est innacessible, là vu que le code est open sources des équipes, des gens sont en train de rehcercher les soit disant backdoor.
maxjean2
[16/12/2010 17:26]
à côté de ça, un service secret ou anti-terroriste qui serait berné par un système crypté grand public, ça ne fait pas sérieux non plus !
à côté de ça, un service secret ou anti-terroriste qui serait berné par un système crypté grand public, ça ne fait pas sérieux non plus !
pitou67
[16/12/2010 17:28]
C'est vraiment une sacrée révélation ca...j'ai du mal à y croire ma bonne dame.
Non mais ce n’est pas fini ? Croire le contraire une seule seconde est le signe soit d'une grande naïveté ou d'une connerie sans fin. Le FBI fait a peu près ce qu'il veut, il suffit d'en connaitre son histoire. Il y a un très bon film sorti il y a 2 3 ans avec Matt Damon, sur l'époque Hoover. Raspoutine passe pour un tendre pacifiste du dimanche à coté. Désolé pour la caricature un peu beauf mais la remarque de ce cher sylvestre aux guignols prend ici tout son sens : « n’oubliez pas qu’on a buté 3 Kennedy…on va pas se faire doubler par un informaticien suédois ».
PS : j’attends les réactions amusées et amusantes de ceux qui vont essayer de nous faire croire que jamais, non jamais Apple ne pourrait nous faire la même chose avec OsX. Il y a bien eu des agents double US et autres, dans la Russie communiste et dans le troisième Reich…alors pourquoi pas chez Apple.
PS2 : j’ose à peine imaginer ce qu’il peu y avoir comme employés de la NSA ou du FBI chez Google.
C'est vraiment une sacrée révélation ca...j'ai du mal à y croire ma bonne dame.
Non mais ce n’est pas fini ? Croire le contraire une seule seconde est le signe soit d'une grande naïveté ou d'une connerie sans fin. Le FBI fait a peu près ce qu'il veut, il suffit d'en connaitre son histoire. Il y a un très bon film sorti il y a 2 3 ans avec Matt Damon, sur l'époque Hoover. Raspoutine passe pour un tendre pacifiste du dimanche à coté. Désolé pour la caricature un peu beauf mais la remarque de ce cher sylvestre aux guignols prend ici tout son sens : « n’oubliez pas qu’on a buté 3 Kennedy…on va pas se faire doubler par un informaticien suédois ».
PS : j’attends les réactions amusées et amusantes de ceux qui vont essayer de nous faire croire que jamais, non jamais Apple ne pourrait nous faire la même chose avec OsX. Il y a bien eu des agents double US et autres, dans la Russie communiste et dans le troisième Reich…alors pourquoi pas chez Apple.
PS2 : j’ose à peine imaginer ce qu’il peu y avoir comme employés de la NSA ou du FBI chez Google.
jerome74
[16/12/2010 17:32]
'est aussi un coup dur pour la communauté du libre en général
Oui, cela dit, il ne fait aucun doute qu'il y a le même genre de backdoor dans les systèmes propriétaires, qui sont bien obligés de coopérer avec les autorités pour tout un tas de raisons, et qui ne vont pas le clamer sur les toits. Voir les accords entre les fabricants d'imprimantes et les autorités américaines, que tout un chacun peut vérifier lui-même, partout dans le monde: http://www.eff.org/wp/investigating-machine-identification-code-technology-color-laser-printers
bugman
[16/12/2010 17:34]
@ maxjean2 : D'un autre coté un message codé (simple XOR) avec un masque à usage unique (venant d'une Arenaus Aléa par exemple) est à la porté de tous. après c'est clair, faut avoir fait parvenir le masque avant le message. Mais là tes anti-terroristes repasseront !
@ maxjean2 : D'un autre coté un message codé (simple XOR) avec un masque à usage unique (venant d'une Arenaus Aléa par exemple) est à la porté de tous. après c'est clair, faut avoir fait parvenir le masque avant le message. Mais là tes anti-terroristes repasseront !
5
4
3
2
1
Réagir
Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.