Le FBI accusé d'avoir inséré des backdoors dans le code cryptographique d'OpenBSD

Selon un courrier de l'ancien CTO de NetSec à Theo de Raadt, le fondateur d'OpenBSD et OpenSSH, le FBI aurait requis les services de sa société vers la fin des années 90 pour insérer des portes dérobées et des mécanismes d'interception de clés dans le framework cryptographique et dans certains éléments de la pile réseau d'OpenBSD. Largement repris par d'autres projets libres et inséré dans moultes appliances de firewall et de sécurité, ce code pourrait donc être compromis. Pour les développeurs et constructeurs concernés, un long travail d'audit du code s'annonce.

Le dernier message publié par Theo de Radt, le fondateur de la communauté OpenBSD et d'OpenSSH, sur la liste OpenBSD-Tech pourrait déclencher une véritable tempête au sein des communautés libres, mais aussi chez certains grands comptes utilisant des équipements de sécurité s'appuyant sur le code du framework cryptographique d'OpenBSD. De Raadt vient en effet de rendre public un courrier électronique que lui a adressé Gregory Perry, l'ex CTO de NetSec (aujourd'hui Verizon Business Security), selon lequel le FBI aurait payé plusieurs développeurs pour insérer des portes dérobées (backdoors) et des mécanismes de récupération de clés dans le framework cryptographique d'OpenBSD.

Perry, dont l'accord de confidentialité avec le FBI vient d'expirer, explique dans son mail qu'il a conseillé le GSA Technical Support Center du FBI dans la mise en oeuvre d'un projet visant à insérer des backdoors dans des systèmes de cartes à puce et dans des frameworks cryptographiques. Et il explique que plusieurs salariés de NetSec ont travaillé sur le programme.

Permettre au FBI de casser les tunnels IPSec

Perry indique notamment que le FBI aurait mis en oeuvre des mécanismes de backdoors et de "fuites" de clés dans OCF (OpenBSD Cryptographic Framework), le framework cryptographique d'OPenBSD (qui est par exemple utilisé pour la mise en oeuvre de tunnels IPSEC). Objectif : permettre notamment au FBI de déchiffrer les communications encryptées dans un tunnel inter-sites.

Perry ne se contente pas de mentionner le programme du FBI. Il donne aussi des noms. Il cite notamment les contributions de Jason Wright, l'un des grands contributeurs du projet OpenBSD, aujourd'hui employé au sein de l'Idaho National Laboratory -une agence gouvernementale US - et qui a travaillé chez NetSec entre la fin 1999 et la mi-2001. Perry invite De Raadt à auditer l'intégralité des soumissions de code de Wright ainsi que des autres développeurs affiliés à l'époque à NetSec.

Perry explique que l'existence de backdoors dans le code cryptographique d'OpenBSD est la raison pour laquelle le FBI encourage l'usage d'OpenBSD pour les applications de firewall et de VPN. Pour conclure, il pointe du doigt Scott Lowe, un des blogueurs les plus respectés dans le monde de la virtualisation et l'accuse d'être affilié au FBI et de promouvoir lui aussi l'usage de machines virtuelles OpenBSD dans VMware vSphere. Lowe a multiplié les démentis à ce sujet au cours des deux derniers jours.

Vers un long processus d'audit de code

Gageons que le courrier de Perry devrait déclencher une frénétique activité d'audit du code cryptographique et de la stack réseau de FreeBSD, d'autant que ce code a depuis été largement réutilisé par d'autres OS. Si les dires de Perry se vérifiaient, les conséquences pourraient être de grande ampleur, car il faudrait alors, pour tous les utilisateurs affectés, mettre à jour les composants incriminés. La validation des allégations de Perry pourrait aussi avoir des conséquences dévastatrices pour la réputation de Verizon Business Security Solutions, s'il s'avérait que NetSec, acquis en 2006, a collaboré avec le FBI et installé en connaissance de cause des systèmes truffés de backdoors chez ses clients. A suivre. Elle pourrait aussi avoir des conséquences catastrophiques pour le FBI, qui pourrait avoir à rendre des comptes sur ses biens curieuses pratiques, sans parler des conséquences sur la réputation de l'agence fédérale US.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close