OpenBSD infiltré par le FBI ?

La nouvelle s’est répandue comme une trainée de poudre au sein de la communauté des spécialistes du monde de la sécurité : des développeurs travaillant pour le compte du FBI auraient introduit, de longue date (début 2000), des portes dérobées dans la pile IPSEC d’OpenBSD.

L’information a été dévoilée par Gregory Perry, l’ex CTO de NETSEC, qui n’a pas hésité à fournir des noms de personnes travaillant en sous-main pour le compte du FBI. Ces dernières ont d’ores et déjà clamé leur innocence. Toutes ces allégations n’ont pas laissé de marbre Theo de Raadt, le fondateur du projet OpenBSD. Il signale tout d’abord que le code source de la pile IPSEC d’OpenBSD est utilisé au sein de multiples autres projets. Aussi, de nombreux éditeurs seraient bien inspirés d’effectuer rapidement un audit du code de leurs produits.

Concernant OpenBSD, Theo de Raadt rappelle que de multiples changements ont été appliqués à la pile IPSEC ces dix dernières années. Il est donc difficile de savoir aujourd’hui si ces portes dérobées existent encore, et – dans l’affirmative – si elles sont toujours utilisables par le FBI. Toutefois, le doute demeure. Aussi, même si Theo de Raadt ne souhaite pas rentrer dans cette polémique, il est plus que probable que les opérations de vérification vont connaitre un pic dans les semaines à venir.

Notez que le code source d’OpenBSD est audité en profondeur de façon systématique, faisant de cet OS l’offre la plus sécurisée et la plus contrôlée du marché. Autant dire que la présence de portes dérobées dans d’autres systèmes d’exploitation (open source ou non) n’a rien d’improbable.