Flicage d’internet: le FBI a implanté des backdoors dans les protocoles sécurisés

le-fbi-nous-espionne

Il ya dix ans, le FBI a implanté "un certain nombre de portes d'accès dérobés" dans la pile IPSEC (Internet Protocol Security) d'OpenBSD.

C’est la personne payée pour les implanter qui le révèle aujourd’hui:

IPSEC est un protocole de communication sécurisé utilisé par des sites du monde entier. Sécurisé sous réserve que personne ne dispose d’un passe-partout permettant de déverrouiller les sécurités. Or c’est précisément ce genre d’accès dérobé que le FBI a fait implanter.

Le témoignage de Gregory Perry fait froid dans le dos:

« Je voulais porter à votre connaissance le fait que le FBI a implémenté un certain nombre de backdoors et de mécanismes de récupération de clés dans l’OCF (OpenBSD/FreeBSD Cryptographic Framework), dans le but avéré de pouvoir surveiller les échanges de site à site en VPN (Virtual Private Network).

C’est probablement la raison pour laquelle vous avez perdu votre financement de la DARPA, ils ont très probablement eu vent de ces backdoors et ne voulaient pas créer de produits dérivés sur cette base.« 

Si ces allégations de Gregory Perry, ancien directeur technique de NETSEC sont avérées, tous ceux qui ont utilisé ce protocole peuvent avoir été espionnés électroniquement par le FBI sans le savoir.

Dans un e-mail adressé au responsable du projet OpenBSD Theo de Raadt, Gregory Perry affirme avoir été payé par le FBI pour faire le sale boulot. Ou son devoir de patriote, tout dépend de quel point de vue on se place. Dix ans s’étant écoulés, Gregory Perry explique ne plus être tenu par son accord de non divulgation et vouloir que tout le monde soit au courant.

Theo de Raadt a envoyé à son tour un e-mail à la communauté OpenBSD pour lancer la chasse aux backdoors du FBI:

« Il est allégué que certains ex-développeurs (et l’entreprise pour laquelle ils ont travaillé) ont accepté de l’argent du gouvernement américain pour implanter des backdoors dans notre pile réseau. Dans la mesure où notre première pile IPSEC était disponible gratuitement, des portions importantes du code sont maintenant disséminées dans de nombreux autres projets/produits. En 10 ans, le code IPSEC a connu beaucoup de changements et de correctifs, donc nous ne savons pas exactement quel est l’impact réel de ces allégations.« 

Le problème est sans doute beaucoup plus vaste. Si cela s’est produit une fois, combien d’autres de ces backdoors existent dans les protocoles et outils internet prétendument sécurisés? Nous aimerions vraiment le savoir. [Ars Technica]

Tags :
Dernières Questions sur UberGizmo Help
  1. à noter que la présence de ces portes dérobées n’est absolument pas confirmée et que c’est uniquement une rumeur.

    « Le problème est sans doute beaucoup plus vaste. Si cela s’est produit une fois, combien d’autres de ces backdoors existent dans les protocoles et outils internet prétendument sécurisés? Nous aimerions vraiment le savoir »

    Là, vous jouez la carte de la peur. Le fait que ces backdoors n’aient pas été vues est due au manque de vigilances ainsi qu’a une trop grande responsabilité donnée à une poignée de personnes. Bref, on a affaire à un problème de gestion de projet qui ne peux se reproduire qu’avec une gestion de projet identique.

  2. “Le problème est sans doute beaucoup plus vaste. Si cela s’est produit une fois, combien d’autres de ces backdoors existent dans les protocoles et outils internet prétendument sécurisés? Nous aimerions vraiment le savoir”

    Voir Gizmodo jouer sur le FUD me laisse vraiment perplexe…
    Mais tant qu’à faire, autant aller jusqu’au bout :

    La Chine qui a réclamé les sources des windows à MS (qui a du s’exécuter) et utiliser son savoir pour ses cyber-attaques…
    Et de même, toujours chez MS, l’histoire de la clé RSA publique codée en dur dans le noyau TCP/IP (histoire qui est remonté au jour il y a quelques années…
    Et sinon, comment savoir si OS X ou Win7 n’ont pas eux aussi des backdoors pour ces bonnes vieilles agence gouvernementales ?

  3. Pour la culture gé, on ne dit pas, « il a implanté » mais « il a implémenté ». Cela signifie en gros qu’il a développé la solution technique.

  4. oui ..donc c’est vraiment certains que ni Microsoft ni Apple ni Cisco ni Juniper ni google ni ….etc n’ont fait la meme chose depuis 10 ans. non non c’est sure ! c’etait des pratiques d’un autre temps.

    1. qu’en sais tu?
      tu as décortiqué les 250k?
      quand wikileaks a diffusé les leaks du fbi???
      pi on s’en doutait pas dit de ces techniques …
      au moins on sait ou dans un seul cas

  5. Trop c’est trop….
    Je bazarde tous ces softs verolés, et commence à créer mes propre softs à commencer par un OS beaucoup plus stable, rapide et sûr MULTIPLATEFORME, multitâche avec traducteur universel intégré des applications installées
    Je pense avoir fini cet après-midi et j’attaque mon navigateur avec VPN intégré de 18432 bit: puis ma suite bureautique et bien plus encore.

    Pour quelle config?

    — AT 286 2 mega de ram (c’est ça 2 mega)
    – Atari 2 mega de ram
    – Amiga 2 mega de ram
    – Commodore 2 mega de ram
    – Orion 2 mega de ram
    – Sinclair 2 mega de ram
    – Amstrad 2 mega de ram

    — Carte grafique virtuelle (émulée et intégrée dans le code de chacun de mes softs avec analyse à la volée des données graphiques et attribution de ram virtuel)

  6. Je me souviens avoir lu des threads où x et y ne juraient que par openBSB… avec une certain fierté de la chose.

    x et y doivent avoir les boules aujourd’hui… Et de grosses 😉

  7. Je me souviens avoir lu des threads où x et y ne juraient que par openBSD… avec une certain fierté de la chose.

    x et y doivent avoir les boules aujourd’hui… Et de grosses

    NB: OpenBSD et non openBSB

  8. > Il ya dix ans, le FBI a implanté “un certain nombre de portes d’accès dérobés”
    > dans la pile IPSEC (Internet Protocol Security) d’OpenBSD.

    Non. Ce n’est qu’une rumeur lancée par M.Perry.

    > C’est la personne payée pour les implanter qui le révèle aujourd’hui:

    Non, ce n’est pas ce que dit M.Perry. Il accuse d’autres personnes de l’avoir fait. Il n’a jamais travaillé sur le sujet.

    > Or c’est précisément ce genre d’accès dérobé que le FBI a fait implanter.

    Non, on en sait rien.

    > Gregory Perry affirme avoir été payé par le FBI pour faire le sale boulot

    Non, ce n’est pas ce qu’il dit.

    > Theo de Raadt a envoyé à son tour un e-mail à la communauté OpenBSD
    > pour lancer la chasse aux backdoors

    Mouais, en tout cas M.Perry est grillé depuis que Théo a rendu ce message public.
    Il a accusé deux personnes dans son message qui on nié toute implication là dedans.

    Et des audits de code, ces maniaques d’OpenBSD passent de toute façon leur temps à le faire.

    Faites un effort pour ne reporter que ce qui est écrit dans le message,;
    vous n’interprétez pas là, vous inventez.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité