{"id":80,"date":"2010-12-19T16:28:39","date_gmt":"2010-12-19T15:28:39","guid":{"rendered":"http:\/\/vdeffontaines.free.fr\/newblog\/?p=80"},"modified":"2010-12-19T18:26:13","modified_gmt":"2010-12-19T17:26:13","slug":"la-backdoor-du-fbi-dans-openbsd","status":"publish","type":"post","link":"https:\/\/blog.gryzor.com\/index.php\/2010\/12\/19\/la-backdoor-du-fbi-dans-openbsd\/","title":{"rendered":"La backdoor du FBI dans OpenBSD"},"content":{"rendered":"<p>Et voici la nouvelle crise majeure de s\u00e9curit\u00e9 de l&#8217;information.<br \/>\n<a href=\"http:\/\/arstechnica.com\/open-source\/news\/2010\/12\/fbi-accused-of-planting-backdoor-in-openbsd-ipsec-stack.ars\">Le FBI est accus\u00e9<\/a> d&#8217;avoir fait implanter une ou plusieurs backdoors dans la pile de chiffrement IPSEC d&#8217;OpenBSD.<br \/>\n10 ann\u00e9es apr\u00e8s les faits suppos\u00e9s, le responsable de cette op\u00e9ration se d\u00e9clare d\u00e9li\u00e9 de l&#8217;accord de confidentialit\u00e9 qu&#8217;il avait sign\u00e9 et en fait part \u00e0 Theo de Raadt.<\/p>\n<p>Plusieurs points int\u00e9ressants :<br \/>\n* Ces all\u00e9gations sont <b>inv\u00e9rifiables<\/b>. Du code de ce type est \u00e9minemment complexe \u00e0 \u00e9crire et \u00e0 auditer (cf la faille Debian SSH, \u00e9norme et rest\u00e9e b\u00e9ante pendant plusieurs mois). Une \u00e9quipe s&#8217;est mise \u00e0 auditer le code en question, mais qu&#8217;en conclure si ils trouvent des probl\u00e8mes ? Cela pourrait aussi bien \u00eatre un bug. Ils peuvent aussi bien ne pas en trouver, cela ne prouvera pas l&#8217;absence de faille.<\/p>\n<p>* Ces all\u00e9gations sont <b>parfaitement cr\u00e9dibles<\/b>. La pile IPSEC d&#8217;OpenBSD \u00e9tait la premi\u00e8re impl\u00e9mentation ouverte (\u00e0 code source ouvert et r\u00e9utilisable), et a donc \u00e9t\u00e9 reprise par de nombreux syst\u00e8mes. Cela en faisait a priori une cible de choix.<\/p>\n<p>* Surtout : une fois le code compl\u00e9tement audit\u00e9 : qui pourra certifier que cette stack IPSEC est enfin s\u00fbre ? OpenBSD est d\u00e9j\u00e0 r\u00e9put\u00e9 pour \u00eatre l&#8217;un des syst\u00e8mes les plus audit\u00e9s du monde ; une scrutation de plus est-elle de nature \u00e0 changer quoi que ce soit \u00e0 la confiance que l&#8217;on peut apporter \u00e0 la s\u00e9curit\u00e9 de ce syst\u00e8me ? De ce point de vue, cette crise est un non-\u00e9v\u00e9nement, car elle ne change rien \u00e0 cet \u00e9tat de fait.<\/p>\n<p>Open source ou pas, la question de la confiance dans les syst\u00e8mes de chiffrements &#8211; et dans la s\u00e9curit\u00e9 des syst\u00e8mes en g\u00e9n\u00e9ral &#8211; est de nouveau pos\u00e9e. Ce ne sont certes pas les audits r\u00e9alis\u00e9s dans les cadres l\u00e9gaux (comme <a href=\"http:\/\/www.ssi.gouv.fr\/site_rubrique123.html\">les crit\u00e8res communs<\/a>) qui y r\u00e9pondront!<\/p>\n<p>Salutations enfin au courage de Theo de Raadt, qui sait parfaitement que faire pour assurer la confiance \u00e0 moyen et \u00e0 long terme. \u00c0 d\u00e9faut de certitudes sur la s\u00e9curit\u00e9 de l&#8217;OS, voici de quoi \u00e9tayer une conviction sur les intentions de ceux qui g\u00e8rent ce projet.<\/p>\n<p>Je vois une sortie de crise, qui \u00e0 d\u00e9faut d&#8217;\u00eatre compl\u00e8te, serait int\u00e9ressante : que Monsieur Gregory Perry publie toutes informations en sa possession sur ces fameuses failles intentionnelles. Personne ne pourra d\u00e8s lors le traitera de menteur ; on pourra au plus douter qu&#8217;il ait tout divulgu\u00e9&#8230;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Et voici la nouvelle crise majeure de s\u00e9curit\u00e9 de l&#8217;information. Le FBI est accus\u00e9 d&#8217;avoir fait implanter une ou plusieurs backdoors dans la pile de chiffrement IPSEC d&#8217;OpenBSD. 10 ann\u00e9es apr\u00e8s les faits suppos\u00e9s, le responsable de cette op\u00e9ration se d\u00e9clare d\u00e9li\u00e9 de l&#8217;accord de confidentialit\u00e9 qu&#8217;il avait sign\u00e9 et en fait part \u00e0 Theo [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/80"}],"collection":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/comments?post=80"}],"version-history":[{"count":8,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/80\/revisions"}],"predecessor-version":[{"id":89,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/80\/revisions\/89"}],"wp:attachment":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/media?parent=80"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/categories?post=80"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/tags?post=80"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}