(merci de prendre le temps de répondre au petit sondage à la fin de l’article )
Lire la Mise à jour en fin d’article.

OpenBSD était réputé pour être un des systèmes les plus sûrs et sécurisés. Il est en autre à la base de plusieurs autres systèmes, notamment Mac OS X. Theo de Raadt vient d’annoncer qu’une backdoor (porte dérobée) était présente dans ce système. Celle-ci a été placée par des développeurs travaillant sur ce projet suite à une ‘commande’ du FBI (Federal Bureau of Investigation). OpenBSD était mis en avant, notamment par le FBI, pour sa sécurité…

Un des avantages de l’open source en particulier et du logiciel libre en général est la disponibilité du code source, gage de sécurité pour beaucoup car bien-sûr personne n’irait mettre une backdoor là où tous le monde pourrait la voir…

Bien entendu on peut toujours lire l’intégralité du code source d’un petit logiciel pour s’assurer qu’il est ‘propre’, mais encore faut-il en avoir les compétences. Quand il s’agit d’un système d’exploitation, là, c’est impossible, car ce type de logiciel est développé par de grosses équipes et seul nous n’aurions pas assez d’une vie. Comment faire alors ? S’appuyer sur des tiers ? C’est bien-sûr possible, mais à quel prix ? et surtout, il faut avoir confiance en eux. Quand à s’appuyer sur une communauté de développeur, on voit ici que ça ne rend pas les choses plus sûres.

Alors en fin de compte la sécurité et l’open source ne seraient-ils pas une affaire réservée à une élite ? Une élite, capable de comprendre le code et/ou disposant des ressources nécessaires (humaines et financières) afin d’en déléguer l’audit ?

Tout cela ne remet-il pas en cause la confiance que vous accordiez (ou pas) à l’open source et au logiciel libre ?

On voit déjà fleurir sur les forums des questions relatives à la sécurité d’Ubuntu.

Pour ma part, la confiance reste, car des sources publiées valent mieux que des sources cachées. L’audit du code est certes difficile, mais reste possible…

Mise à Jour : Il semblerait que les développeurs incriminés réfutent les allégations de Theo de Raadt. Mais alors pourquoi Theo a-t-il fait cette sortie ? Dans quel but ? Dénigrer OpenBSD ? Dénigrer la communauté du logiciel libre et de l’open source dont il fait partie ? N’est-ce pas lui finalement qui pourrait être manipulé ou en service commandé ? On peut se poser la question. On peut aussi se demander si la réponse des développeurs n’est pas faite dans le but de conserver la confiance dans un système qui permet au FBI de s’introduire comme il veut. S’ils bossent pour le FBI, ils ont intérêts à dire que ce n’est pas vrai. Mais dans une affaire comme celle là, le mal est partiellement fait. Même si les esprits sains ne si tromperont pas, les détracteurs du logiciel libre y trouveront le terreau de leurs thèses…

source :

Secunia, connu notamment pour son PSI – Personnal Sofware Inspector, traque les failles de sécurité dans les logiciels depuis 2002 et publie son palmares régulièrement.

La plupart des failles ne proviennent pas directement de Mac OS X, mais des applications tierces, comme le navigateur Safari, QuickTime ou encore iTunes.

Source