OpenBSD BackDoor FBI – Avez-vous toujours confiance dans l’opensource ?

La révélation faite par Theo de Raadt fondateur d’OpenBSD et d’OpenSSH sonne comme un coup de tonnerre dans la communauté du logiciel libre et de l’open source.

(merci de prendre le temps de répondre au petit sondage à la fin de l’article ;-) )
Lire la Mise à jour en fin d’article.

OpenBSD était réputé pour être un des systèmes les plus sûrs et sécurisés. Il est en autre à la base de plusieurs autres systèmes, notamment Mac OS X. Theo de Raadt vient d’annoncer qu’une backdoor (porte dérobée) était présente dans ce système. Celle-ci a été placée par des développeurs travaillant sur ce projet suite à une ‘commande’ du FBI (Federal Bureau of Investigation). OpenBSD était mis en avant, notamment par le FBI, pour sa sécurité

Un des avantages de l’open source en particulier et du logiciel libre en général est la disponibilité du code source, gage de sécurité pour beaucoup car bien-sûr personne n’irait mettre une backdoor là où tous le monde pourrait la voir…

Bien entendu on peut toujours lire l’intégralité du code source d’un petit logiciel pour s’assurer qu’il est ‘propre’, mais encore faut-il en avoir les compétences. Quand il s’agit d’un système d’exploitation, là, c’est impossible, car ce type de logiciel est développé par de grosses équipes et seul nous n’aurions pas assez d’une vie. Comment faire alors ? S’appuyer sur des tiers ? C’est bien-sûr possible, mais à quel prix ? et surtout, il faut avoir confiance en eux. Quand à s’appuyer sur une communauté de développeur, on voit ici que ça ne rend pas les choses plus sûres.

Alors en fin de compte la sécurité et l’open source ne seraient-ils pas une affaire réservée à une élite ? Une élite, capable de comprendre le code et/ou disposant des ressources nécessaires (humaines et financières) afin d’en déléguer l’audit ?

Tout cela ne remet-il pas en cause la confiance que vous accordiez (ou pas) à l’open source et au logiciel libre ?

On voit déjà fleurir sur les forums des questions relatives à la sécurité d’Ubuntu.

Pour ma part, la confiance reste, car des sources publiées valent mieux que des sources cachées. L’audit du code est certes difficile, mais reste possible…

Mise à Jour : Il semblerait que les développeurs incriminés réfutent les allégations de Theo de Raadt. Mais alors pourquoi Theo a-t-il fait cette sortie ? Dans quel but ? Dénigrer OpenBSD ? Dénigrer la communauté du logiciel libre et de l’open source dont il fait partie ? N’est-ce pas lui finalement qui pourrait être manipulé ou en service commandé ? On peut se poser la question. On peut aussi se demander si la réponse des développeurs n’est pas faite dans le but de conserver la confiance dans un système qui permet au FBI de s’introduire comme il veut. S’ils bossent pour le FBI, ils ont intérêts à dire que ce n’est pas vrai. Mais dans une affaire comme celle là, le mal est partiellement fait. Même si les esprits sains ne si tromperont pas, les détracteurs du logiciel libre y trouveront le terreau de leurs thèses…

OpenBSD BackDoor FBI - Avez-vous toujours confiance dans l'opensource ?

View Results

Loading ... Loading ...

source :

6 réflexions sur “ OpenBSD BackDoor FBI – Avez-vous toujours confiance dans l’opensource ? ”

  1. Pourquoi les fédéraux qui ont backdooré OpenBSD pourtant réputé citadelle imprenable et ultra sécurisé, n aurait ils pas les moyens de faire pareil avec UBUNTU ? La confiance dans l’open source a été sérieusement ébranlé, maintenant il est possible d’imaginer le pire… Il va falloir passer ts les systemes au peigne fin !

  2. @J Galt Compte tenu que les développeurs incriminés réfutent les allégations de Theo, je me demande dans quels buts a-t-il fait cette sortie ? et si finalement ce ne serait pas lui qui est en service commandé…

  3. Ce genre de billet est ridicule et ne fait qu’alimenter le FUD.
    Certes l’information est importante et mérite d’etre présentée, mais pas de cette maniere.

    D’abord openbsd et ses developpeurs sont à l’origine (ou au moins tres gros contributeurs) de la plupart des solutions de sécurité de base.
    Grace à la licence BSD (bien différente de la GPL), il en découle que la majorité des systemes se servent de leurs briques y compris ceux qui ne sont pas libres (nombre d’editeurs de FW ou routeurs, MacOS, …).

    Donc la question n’est pas avez vous confiance en le libre, mais avez-vous encore confiance en votre solution de sécurité quelle qu’elle soit (a forciori si celle-ci emane d’une compagnie américaine)?

    Enfin, une vraie question est :
    – quels audits de sécurité sont effectivement effectués dans les grandes entreprises francaises (banques, telecom, santé, sécurité, …) et par le gouvernement?
    – de quelle expertise dispose t on?

    Demander à ceux qui ne savent de quoi est fait leur systeme d’exploitation si ils font encore confiance au libre ou pas, ne fait que détruire le libre stupidement.

  4. @bob
    Bonjour Bob,
    Tout d’abord, merci d’avoir pris le temps de laisser un commentaire.

    Je suis d’accord avec vos remarques en rapport avec la sécurité des grandes entreprises nationales et les moyens qu’elles mettent ou pas en œuvre pour de tels audits, ainsi que sur la disponibilité d’experts.
    J’aborde un peu ce sujet quand je parle des moyens à mettre en œuvre et de la notion de confiance à leurs accorder.
    Vous allez plus loin en posant la question de la mise en œuvre effective ou pas dans nos grandes entreprises.

    Effectivement, OpenBSD où certains de ses composants sont utilisés dans d’autres systèmes de sécurité ou systèmes d’exploitation. J’en parle en citant Mac Os X qui n’est pas libre (mais je ne rentre pas dans le détail et ne parle pas de Darwin…).

    Je trouve ma question légitime car elle saute au yeux suite à ce genre d’annonce.
    Qu’on le veuille ou non le mal est en partie fait.
    J’essaye d’amener à réfléchir à un autre niveau avec la mise à jour en fin d’article, sur les raisons et les intérêts qui ne sont pas toujours ceux que l’on aperçoit à première vue.
    Mais votre question étendant la mienne à tous les systèmes de sécurités (libre ou pas) est aussi pertinente.

    Comme dans un premier temps je reprends une information et que j’y ajoute des compléments, notamment sur le point de vue des développeurs incriminés, tout en y mettant des points pour élargir le débat (causes, intérêts), j’estime que même les néophytes ont un cerveau et que mon article ne détruit pas stupidement le libre.
    Cela dit, des commentaires comme le votre permettre de débattre du sujet, d’approfondir et parfois de proposer d’autres axes de réflexions.
    Merci à vous.
    Cdt.

    Olivier

  5. @bob Je ne sais pas si ce billet est ridicule mais personnellement j’aurai aimé trouver le nota bene final placé au début en guise de « mise en garde » concernant cette rumeur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>