Pas de «backdoor» dans le code cryptographique d’OpenBSD

Du moins pour le moment. Mi-décembre, un courrier de l’ancien CTO de NetSec à Theo de Raadt, fondateur d’OpenBSD et OpenSSH, faisait l’effet d’une petite bombe : selon celui-ci, le FBI aurait requis les services de sa société vers la fin des 90 pour insérer des portes dérobées et des mécanismes d’interception de clé dans le framework cryptographique et dans certains éléments de la pile réseau d’OpenBSD. Un code largement repris par d’autres projets libres et inséré dans moulte appliances de firewall et de sécurité. Un processus d’inspection du code a alors été lancé.

De quoi permettre à Theo de Raadt d’apporter un premier début de réponse. Une dizaine de personnes aurait commencer à étudier le code incriminé avec, pour premier résultat, la découverte de deux bugs dans la pile logicielle de cryptographie. Des bugs qui, selon Theo de Raadt, ne sont «qu’accidentels.» En l’état, il estime que «NetSec a probablement été sollicité pour écrire des portes dérobées» mais, pour autant, «si celles-ci ont été écrites, je ne crois pas qu’elles aient été» implémentées.