C'est la polémique qui secoue le monde du libre ces derniers jours : le Federal Bureau of Investigation (FBI) aurait commissionné des développeurs pour implanter des portes dérobées dans OpenBSD il y a une dizaine d'années de cela. En français, cela veut dire que la distribution BSD qui se veut être la plus sécurisée pourrait en fait contenir des dispositifs permettant à l'antiterrorisme et au contre-espionnage américain d'intercepter des communications.Cette révélation vient de Theo de Raadt lui-même, le fondateur d'OpenBSD et d'OpenSSH : il rend public un courriel que lui a adressé Gregory Perry, ancien directeur de la technologie de NetSec (depuis acquis par Verizon Business Security). Dans ce courriel, Perry explique qu'il y a dix ans le FBI aurait payé des développeurs pour introduire des portes dérobées et des mécanismes de récupération de clefs dans le framework cryptographique d'OpenBSD (un outil facilitant la mise en place de processus de chiffrement des données).
Il a à l'époque signé une clause de confidentialité : celle-ci ayant expiré, il est donc libre d'informer la communauté OpenBSD de cette faille, et en profite pour nommer certains de ses collègues chez NetSec dont les services auraient aussi été requis par le FBI. Theo de Raadt a donc demandé un audit de l'intégralité des soumissions de code effectuées par les personnes incriminées — on y trouve notamment des employés d'agences gouvernementales américaines.
Tel que le mécanisme aurait été mis en place, il permet au FBI de déchiffrer des communications chiffrées dans un tunnel IPSec, c'est-à-dire dans le cadre de communications entre sites. Selon Perry, il ne faudrait pas chercher plus loin pour expliquer pourquoi le FBI recommande explicitement OpenBSD pour les pare-feu et le VPN (réseau virtuel privé) : il pourrait sans peine s'infiltrer dans ces applications extrêmement privées et extrêmement sécurisées.
Cette affaire est un nouveau coup dur pour OpenBSD, dont le système d'audit de code a déjà été mis en défaut ces dernières années : alors qu'elle est la deuxième distribution BSD la plus populaire et celle qui se veut être la plus axée sur la sécurité, on se demande comment une telle « backdoor » a pu survivre dix ans, au point que l'on pourrait douter de sa véracité, ce que seule l'étude du code pourra confirmer.
C'est aussi un coup dur pour la communauté du libre en général, qui va passer des moments difficiles à justement vérifier le code : les mécanismes en question auraient notamment été repris par FreeBSD, la distribution BSD la plus populaire, notamment employée sur tous les serveurs de Yahoo! pour ne citer qu'un client. Il se pourrait que Mac OS X soit affecté, ainsi que de nombreux systèmes de chiffrement qui ont repris le code cryptographique d'OpenBSD, un des plus anciens et des plus réputés.
Elle risque aussi de provoquer de nouvelles tensions autour du FBI, agence gouvernementale américaine controversée pour ses méthodes atypiques et son mandat extrêmement large, du contre-espionnage à l'antiterrorisme en passant par les renseignements généraux ou la criminalité financière. D'autres agences américaines s'entendent pourtant plutôt bien avec le monde du libre : la NSA (National Security Agency, renseignement d'origine électromagnétique) a développé le module de sécurité SELinux publié sous licence GPL. Quant à la DARPA (Defense Advanced Research Projects Agency, agence de recherche et développement de l'armée américaine, à qui l'on doit pêle-mêle le GPS ou ARPANET), elle avait justement envisagé d'utiliser OpenBSD : Perry est sûr et certain que le projet a capoté au dernier moment à cause de l'existence de ces portes dérobées.
[MàJ] Jason Wright, une des personnes nommées par Gregory Perry et désormais employée par une agence gouvernemantale, le Idaho National Laboratory (nucléaire), dément formellement ces accusations. Il affirme n'avoir jamais « ajouté de portes dérobées à OpenBSD », et demande même « des excuses de la part de Greg Perry ».
Il relègue cette affaire à « une légende urbaine », affirmant que les alléguations de Perry ne tiennent pas face à une étude précise de la chronologie des événements (il aurait quitté NetSEC avant 2000). Bref, affaire à suivre…
