Courant décembre, ZDNet publie un article annonçant que le FBI serait soupçonné d'avoir fait intégrer des backdoors dans OpenBSD. Il faut savoir qu'OpenBSD est un système d'exploitation libre de type Unix dont le triptyque est "son intransigeance sur la liberté du logiciel et du code source, la qualité de sa documentation, et l'importance accordée à la sécurité et la cryptographie intégrée".
L'histoire démarre lorsque Theo de Raadt, cofondateur et co-développeur de l'OS, explique le 14 décembre 2010 qu'il a reçu un mail de Gregory Perry lui indiquant la présence de backdoors introduites à la demande des autorités fédérales (FBI). G. Perry aurait décidé de transmettre l'information apparemment pris par le remords mais surtout parce que son NDA (Non-Disclosure Agreement - Accord de confidentialité pour faire simple) venait d'expirer.
La communauté OpenBSD mais aussi BSD s'émeut alors de l'information et T. de Raadt recommande un audit de code tout en restant extrêmement prudent sur les motivations réelles de G. Perry. L'audit de code n'aurait, pour le moment, rien révélé de particulier ni mis en évidence la présence d'une quelconque backdoor.
J'ai donc contacté l'un de mes confrères, spécialiste du monde BSD (ultra geek voire obscur :) qui m'a donné son sentiment et que je reproduis ci-dessous, avec son consentement :
"L'info est avérée, il s'agit bien d'un mail de Theo de Raadt (patron du projet) qui, lorsqu'il a eu vent de l'affaire par le biais de "l'implémenteur", a initié un audit général.
Mais pour moi, il y a plusieurs hypothèses, soit il s'agit bien d'une corruption de l'un des développeurs avec très certainement une implémentation de backdoor, ou alors, il y eu tentative sur la dite période et Theo a gardé l'info sous le coude, pour s'en servir aujourd'hui, car le projet doit subir des pressions des autorités US pour implémenter ces backdoors, ce qui permet de les tenir à distance avec le buzz qu'a générer l'affaire.
Dans tous les cas, il y a bien eu des initiatives de la part des autorités US."
Simples initiatives ou portes dérobées avérées, peu de personnes de la sécurité (informatique / de l'information) seront surprises qu'une telle possibilité existe. A suivre...
Aucun commentaire:
Enregistrer un commentaire