Coup de tonnerre dans le monde de l’informatique et d’UNIX. Des révélations faites par un ancien responsable technique d’une société indiquent que le FBI aurait intégré dans le code du projet BSD un certain nombre de portes dérobées, permettant ainsi à ceux qui savaient les trouver comment espionner l’activité des serveurs. Historique d’une révélation fracassante.

L'homme du scandale

Gregory Perry était au début de la décennie le directeur technique de la société NETSEC. Cette dernière était impliquée dans le développement du projet BSD, duquel sont issues les célèbres déclinaisons FreeBSD, OpenBSD ou encore NetBSD. Plus exactement, NETSEC participait aux travaux sur la couche IPSec, qui apporte des mécanismes de sécurité au protocole IP. Or, cette même couche IPSec est aujourd’hui reprise dans d’autres systèmes d’exploitation.

Durant les années 2001 et 2001, le FBI aurait demandé à NETSEC d’intégrer dans la couche IPSec des portes dérobées. Gregory Perry avait accepté la mission, en signant au passage une clause de non-divulgation (NDA) d’une durée de dix ans. La période est terminée, et Gregory Perry a en conséquence envoyé un email à Theo de Raadt, créateur et chef des projets OpenBSD, OpenSSH, OpenNTPD et OpenBGPD.

Le passage important est celui-ci :

« Je voulais vous faire savoir que le FBI avait implémenté plusieurs portes dérobées et des mécanismes de fuites parallèles dans l’OCF, dans le but précis de surveiller le système de chiffrement VPN de site à site implémenté par l’EOUSA, l’organisation parente du FBI. Il s’agit probablement de la raison pour laquelle vous avez perdu le financement de la DARPA, car ils ont probablement eu vent de la présence de ces portes dérobées et ne voulaient pas créer de dérivés basés sur le même code. »

Theo de Raadt lance la chasse publiquement

L’arrêt du financement de la DARPA est intervenu en 2003. Cette année-là, Theo de Raadt avait désapprouvé publiquement l’occupation de l’Irak par les États-Unis. Cette aide se chiffrait en millions de dollars et avait déjà été versée. L’agence avait donc réclamé le remboursement de la somme. Le manque de clarté entourant la fin de cette subvention avait provoqué de nombreuses critiques, notamment en regard de la liberté d’expression. D’autant que la décision était intervenue juste avant le concours « hackaton ».

Cet email révélateur fut publié ensuite par Theo de Raadt dans la mailing list officielle d’OpenBSD, le rendant du même coup public.

« Nous présumons que plusieurs anciens développeurs (et les sociétés pour lesquelles ils ont travaillé) ont accepté de l’argent du gouvernement américain pour introduire des portes dérobées dans notre pile réseau. Puisque nous avions la première pile IPSec disponible gratuitement, de grandes parties du code se retrouvent maintenant dans bien d’autres projets et produits. En plus de dix ans, le code IPSec est passé au travers de bien des changements et corrections, et l’impact réel de ces allégations n’est donc pas clair à mesurer. »

De fait, si les révélations de Gregory Perry s’avèrent fondées, plusieurs conséquences négatives vont s’abattre. Premièrement, la réputation de sécurité des serveurs utilisant des variantes de BSD n’est plus à faire. Seulement voilà, si les développeurs trouvent les fameuses portes dérobées au sein du code, cela signifiera qu’elles seront restées indétectées pendant une décennie, et ce en dépit des multiples remaniements du code. Deuxièmement, il est difficile de déterminer combien d’autres produits ont repris la couche IPSec incriminée, mais ils sont potentiellement tous touchés par les backdoors.

La communauté OpenBSD est maintenant en pleine recherche, et on attend donc les résultats. Au final, peut-être que Gregory Perry aura été inspiré par l'aventure Wikileaks.

Source: PC INpact

www.pcinpact.com/actu/news/60876-openbsd...ry-theo-de-raadt.htm

Il est clair que BSD est loin d'être la plus sécure des distros , même la moins sécurisée, alors c'est 'normal' ...
Si les gens savaient maintenant ce que MicroB$oft fait avec ses systèmes ^^
Depuis les ''attenrars'' du 11 septembre, Big Brother se permet des largesses... Devine combien sont ces largesses avec Windows

jalobservateur écrit:
Il est clair que BSD est loin d'être la plus sécure des distros , même la moins sécurisée, alors c'est 'normal' ...
Si les gens savaient maintenant ce que MicroB$oft fait avec ses systèmes ^^
Depuis les ''attenrars'' du 11 septembre, Big Brother se permet des largesses... Devine combien sont ces largesses avec Windows

BSD pas la plus secure?

C'est justement la spécialité maison non? Sécurité et robustesse.

Euhh non justement , parcours google tu verras

On a un post la-dessus justement ici , sur les trous de sécurité.
Mais j'ai pas le temps de chercher pour les moment, mais c,est ici sur forum...

FBI - FBI, qu'ils aillent aux diables les gros plein hamburgers.

Ici c'est CNI (Cyber-Nux investigation)

Rien de comparable à winbil, qui on pas des portes dérobés, disons qu'ils ont oubliés d'en mettre des portes :=) :=)

Voici en image une des portes W$





























Image réservée aux membres.
Veuillez vous connecter ou vous enregistrer.

jalobservateur écrit:
Voici en image une des portes

























Image réservée aux membres.
Veuillez vous connecter ou vous enregistrer.

:woohoo:

wahou Frezi ta porte elle donne sur rien.

Ah ba oui je suis bête c'est une porte windows

Avec W$ on a le choix, backdoor, front door, side doors, top door, under door, bref les pirates adoor

C'est la porte à jal mais comme elle est une windows, elle est la porte ouverte à toute les saloperies de crackers du monde donc du pareil au même

Je voulais aussi vous faire part d'un reccord mondial.
Ma belle-fille avec son vista (juste à cause du fichu ipod), a réussi a le conserver propre pendant 2 ans et que 2 plantages.
Faut dire que je lui avais sécurisé comme une forteresse médiévale enfermée dans un bunker nucléaire, mais aucun malware n'a réussi à s'introduire durant ces 2 ans.
Le seul hic...
Vista doit avoir une date d'expiration programmée
Avant hier il a planté à fond la caisse.
Je lui ai redonné vie mais, j'en ai profité pour lui donné le coup de grâce...
Là le superbe Toshiba duo 4 gio de Ram est en Linux Kubuntu 10.10.
Fluidité et tout fonctionne clef en main, y compris la webcam intégrée.
Là il me reste le ipod a débarbouiller.
Mais la machine est ultra réactive, puis je peaufine les effets et le look en ce moment.
J'ai un petit pincement au coeur en songeant à son vista vivant 2 ans et dont on pourrais mettre dans les reccords guiness

Jal pour l'ipod il y a gtkpod et hipo qui le gère.

Mais je suis a peu près sur que tu connaissais déjà!

cyber-nux.fr/forum/7-autour-du-libre/986...lle-made-in-fbi#9863