'annonce faite par Theo de Raadt avant-hier sur la liste OpenBSD-Tech ne vous a certainement pas échappée tant elle a déjà été relayée et commentée. Il y rapporte en effet un courrier électronique lui annonçant l'existence de backdoors dans la pile IPSEC d'OpenBSD...
L'auteur de cet email, un certain Gregory Perry, aurait supervisé l'implantation de ces portes dérobées pour le compte du FBI il y a une dizaine d'années, par l'entremise de la société dont il aurait été le directeur technique à l'époque. C'est l'expiration récente de son NDA avec l'agence fédérale américaine qui lui permet aujourd'hui de venir soulager sa conscience...
Je n'ai évidemment aucune idée sur la véracité ou non de cette annonce. On peut l'interpréter de moult manières différentes, allant de la totale désinformation au soulagement d'une conscience trop longtemps chargée d'un terrible secret. Toujours est-il que sur ce coup là, Gregory Perry, aujourd'hui à la tête d'une société proposant de la formation sur VMWare, vient de se faire un joli CV en carton... D'une part en accusant nominativement, ou à demi-mots, un palanquée de membres de la communauté OpenBSD et d'adeptes de ce système d'exploitation, sans parler des anciens de la défunte Netsec, la société qui aurait servi d'écran au FBI pour cette opération, et d'autre part en sautant sur la fin de son NDA pour lâcher le morceau.
Car en partant de l'hypothèse qu'il ne s'agit pas là de désinformation, je doute que le FBI voit d'un très bon œil ce genre de comportement, surtout sur un sujet aussi épineux... Ce qui pose évidemment la question de l'opportunité d'avoir, si c'est le cas, protégé ce travail sous le sceau d'un simple NDA, et non d'un niveau de confidentialité ad-hoc engageant les participants à l'opération au silence sur une période résolument plus longue. Mais je préfère vous laisser juger par vous-même de la crédibilité de la situation...
Toujours est-il que Jason L. Wright, le développeur directement mis en cause, s'est évidemment fendu d'une réponse aux allégations de Gregory Perry qu'il réfute en bloc, bien entendu. Il appuie son propos sur la chronologie des faits, en particulier le fait que Perry ne travaillait déjà plus chez Netsec à l'époque où il aurait commencé ses développements sur la couche de cryptographie d'OpenBSD. On a fait mieux comme argument ceci dit...
Dans un registre complètement différent, on notera à la fin de cette réponde que celui qui se prend parfois à reprocher aux autres les grands déballages publics n'a apparemment même pas pris la peine de prévenir les personnes mises en cause avant de balancer l'histoire sur la place publique... Pas cool... Mais passons...
Contacté par un journaliste de CSO, Perry persiste dans ses allégations, sans pour autant donner plus de détails techniques permettant de confirmer la présence des-dites backdoors, et donc sans vraiment donner plus de crédibilité à un propos qui, reconnaissons-le, n'en a déjà pas beaucoup. L'autre personne nominativement mise en cause, Scott Lowe, réfute également les accusations dont il fait l'objet. On notera au passage la confusion sur l'identité de cette personne, qui en dit long sur la précision des informations fournies par Perry...
Cryptome a ouvert une page sur l'affaire, sur laquelle vous pourrez suivre son développement au travers des documents et pointeurs postés.
Sur un plan plus technique, cette affaire de backdoors ramène évidemment aux fameux travaux de Ken Thompson. Dans un article intitulé "Reflections on Trusting Trust", il démontrait la possibilité d'introduire une backdoor dans la commande login lorsque son code source, sain, est compilé par un compilateur C piégé. Et de conserver ce comportement pour un compilateur C issu d'un code source sain, mais compilé avec le méchant compilateur. Travaux qui en disent long sur le niveau de confiance qu'on peut avoir dans un programme...
Ça devrait également rappeler que même dans un code source ouvert, une backdoor ne se trouve pas avec un simple "grep -r ACIDBITCHEZ *", en particulier quand il s'agit de faire fuiter des informations permettant de casser un canal de communication chiffré. Pour s'en convaincre, il suffit d'aller jeter un coup d'œil sur des challenges comme le "Underhanded C Contest", lequel vise justement à dissimuler des fonctionnalités cachées dans du code source. Et le moins qu'on puisse dire, c'est que ça marche plutôt bien...
Tout ça pour dire que techniquement, il est possible que des backdoors aient été introduites dans du code source ouvert sans que ça se voit. Damien Miller propose quelques exemples de pistes à explorer. À supposer que les backdoors en question aient existé, qu'elles aient pu tenir dix ans est une autre question : elles auront pu être découvertes, très probablement prises pour de simples bugs, et corrigées, et/ou le code aura pu être remplacé à la faveur d'une réécriture. Ou être passé à travers les mailles du filet. Mais, il sera extrêmement difficile de démontrer leur présence, et quasiment impossible d'en démontrer l'absence...
En tout cas, ce qui est sûr, c'est que beaucoup d'yeux, plus ou bien intentionnés, se penchent à présent sur le code de l'OCF. Et ce ne sont clairement pas les motivations[1] qui vont manquer...
Notes
[1] Par contre, je trouve que proposer 100USD, ça fait un peu pitié au regard du travail nécessaire...
Jeu de briques
Snake
Pacman
Bubble