OpenBSD : la porte dérobée du FBI est restée close

Le FBI aurait tenté de s’aménager une porte d’entrée au sein d’OpenBSD. Suite à cette annonce, un audit a été réalisé. Conclusion : aucune faille de sécurité ne semble aujourd’hui présente dans la pile IPSEC de l’OS.

La nouvelle a fait sensation mi-décembre : des portes dérobées auraient été installées dans la pile IPSEC d’OpenBSD, à la demande du FBI, qui souhaitait pouvoir accéder discrètement aux serveurs fonctionnant sous ce système d’exploitation. Une tuile de la taille d’un toit pour les développeurs de cet OS open source ultra sécurisé.

Malgré le scepticisme (finalement justifié) de Theo de Raadt, le fondateur du projet OpenBSD, un audit en profondeur du code incriminé a été réalisé. Il apparait aujourd’hui qu’aucune porte dérobée n’est présente.

Deux conclusions peuvent être tirées de ce constat : soit les développeurs mandatés par le FBI n’ont pas réussi à ajouter le code voulu, soit ce code a disparu au fil des versions. Notez que dans le second cas, l’une des remarques de Theo de Raadt reste parfaitement valable : il signalait ainsi que les personnes utilisant le code issu du projet OpenBSD dans leurs propres logiciels feraient bien d’en assurer un audit. En effet, les développeurs empruntant du code sous licence BSD ne prennent que rarement en compte toutes les mises à jour qui lui sont appliquées par la suite.

Notez enfin que cet audit à eu quelques effets inattendus. Il a permis ainsi de repérer plusieurs bogues (qui semblent sans rapport avec une éventuelle porte dérobée), lesquels pourront donc être corrigés. On n’est jamais trop prudent.