Comment le FBI sabote OpenBSD ...

[E18i3]

Theo de Raadt, fondateur d’ OpenBSD, a reçu un email de la part d’ un collaborateur qui dit avoir connaissance de portes dérobées intégrées par des développeurs travaillant pour le FBI dans la pile IPSEC d’ OpenBSD.
Le courrier provient de Gergory Perry qui était P.D.G de NETSEC il y a dix ans.
À l’ époque, il était aussi consultant pour le FBI et a appris que l’ agence avait payé plusieurs employés de sa firme travaillant sur le code d’ OpenBSD dans le but de créer des mécanismes permettant de surveiller les systèmes de chiffrement utilisés entre des sites reliés par VPN.
Ce qui expliquerait pourquoi le bureau recommandait autant OpenBSD pour la création de VPN et aurait réalisé des tutoriels pour le déploiement de l’ OS dans les entreprises.

Quoiqu’ il arrive, un scandale à l’ horizon ?

Gergory Perry affirme ne s’ exprimer que maintenant, car son accord de non-divulgation avec le FBI vient tout juste de prendre fin. Theo de Raadt a demandé un audit du code, car, même si l’ IPSEC a été révisé entre temps, il estime que la menace est bien réelle. Il a d’ ailleurs publié le courrier afin d’ avertir le public dans le cas où ces pratiques seraient confirmées ou pour permettre aux personnes visées de se défendre.
La pile en question était gratuite et de nombreux projets s' en sont inspirés.
Les portes dérobées pourraient donc concerner une foule de logiciels. 

C' est sur, une très mauvaise pub pour OpenBSD 

Sources: tom's hardware, le 16/12/2010

[Animateur]

Dépêche de linuxfr.org

Le FBI a-t-il introduit des portes dérobées dans OpenBSD ?
Le système d'exploitation OpenBSD réputé pour sa robustesse (seulement deux vulnérabilités à distance dans l'installation par défaut, depuis très longtemps) aurait contenu des portes dérobées déposées volontairement par le FBI. Ces backdoors (portes dérobées) auraient été introduites dans le système d'exploitation il y a une dizaine d'années.

Rappelons qu'à l'époque ce système d'exploitation était celui des 13 serveurs DNS racine. En raison de l'expiration du délai de la clause de confidentialité signée avec le FBI, c'est Gregory Perry, un ancien contributeur du projet de cryptographie d'OpenBSD qui nous révèle ça.

Le but était de surveiller la circulation de données chiffrées, en insérant du code malicieux dans la pile réseau IPSEC d'OpenBSD. Theo de Raadt, le fondateur du projet OpenBSD, incite les utilisateurs de ce système à faire un audit du code concerné.

NdM : À ce jour, il est de rigueur d'être prudent : sur la liste de diffusion OpenBSD, Jason L. Wright explique que c'est un problème qui n'est plus d'actualité et relève de la légende urbaine. L'audit de code lancé par les développeurs a permis de trouver au moins deux bugs mais il serait hasardeux de les relier aux allégations de Gregory Perry. Pour plus de détails voir le nouveau mail de Theo de Raadt.

NdM 2 : A la suite des précisions apportées dans les commentaires de cette dépêche il s'avère que Gregory Perry n'a jamais été un contributeur du projet OpenBSD et que cet OS n'était pas installé sur les serveurs DNS racine.

Source http://linuxfr.org/2010/12/22/27698.html

"La vérité est ailleurs"...