L'enquête débute ici http://www.pcinpact.com/actu/news/60876 ... -raadt.htm
Et se poursuit ici http://www.pcinpact.com/actu/news/60953 ... kdoors.htm
La question qui se pose alors : Si BSD est censé être ultra sécur, que peut-il arriver à GNU/Linux ?!Gregory Perry semble donc avoir dit vrai. Il était au début de la décennie le directeur technique de la société NETSEC. Cette dernière était impliquée dans le développement du projet BSD, duquel sont issues les célèbres déclinaisons FreeBSD, OpenBSD ou encore NetBSD. Plus exactement, NETSEC participait aux travaux sur la couche IPSec, qui apporte des mécanismes de sécurité au protocole IP. Or, cette même couche IPSec est aujourd’hui reprise dans d’autres systèmes d’exploitation.
Sommes nous exposés ? Sans doute oui, car ces failles ont été pointées du doigt par un ex employé qui a indiqué avec précision où regarder. Où chercher les autres alors ?
Il est évident que les portions de code incriminées sont intégrées par les mêmes personnes censées vérifier la propreté du code. Dès lors, la question de "taupes" se pose. Est-ce si facile d'entrer dans une Core DevTeam?
Peut être pas. Dans l'histoire de BSD finalement, les deux bugs trouvés ont été corrigés mais ne relevaient pas de failles :
En auditant une partie du code, le développeur Marsh Ray a précisé qu'il a retrouvé la trace d'un bug touchant l'implémentation de IPSEC. Un bug qui a été corrigé en 2002 sans donner lieu à une divulgation. Selon lui, ce bug ne répond pas aux critères pour une backdoor malveillante.
http://www.generation-nt.com/openbsd-ba ... 35011.html
Les backdoors auraient été corrigées comme de simples bugs en 2002.
Parmi les correctifs que nous appliquons chaque jours, un certain lot de failles, volontaire ou non, sont corrigée au vu et à la barbe de tous.
Discrètement, une chasse aux sorcières commence ...