décembre 22nd, 2010

Tiens, la tête d’une vieille chimère Unixienne vient de réapparaître : l’affaire des trappes de la NSA dans les codes « open ». Version lisible et simplifiée dans les pages de notre confrère Guizmodo, édition originale « special geeks » dans les archives de la Mailing List Openbsd-Tech. En deux mots, Gregory Perry, l’un des développeurs d’un stack IPSec sous BSD vient d’avouer qu’une partie de ses productions contiennent une porte dérobée offrant au FBI un accès en lecture directe sur les vpn employant ladite pile.

Considérée parfois comme une légende, parfois comme une « raison non prouvée mais nécessaire et suffisante », cette histoire de « trappes NSA » (ou autre « agence à trois lettres ») fait partie de l’arsenal des arguments marketing de tout bon vendeur de produits de sécurité. Arguments d’autant plus fondés que des pans entiers de code BSD ont été réutilisés, notamment sous Linux, rendant « non négligeable » la probabilité de retrouver lesdites trappes dans un code Debian par exemple.

Dans les faits, cet aveu risque d’avoir deux conséquences : l’une bénéfique, l’autre légèrement enquiquinante. La bénéfique, tout d’abord, car une telle annonce bat en brèche la certitude béate qu’un code Open Source est dénué de pièges « car nécessairement un membre de la communauté s’en serait aperçu »… découvrir une aiguille dans une botte de code de plusieurs centaines de milliers de lignes est une tâche quasi impossible, surtout si l’auteur de la backdoor est un dieu de l’écriture C « vicieuse et non documentée ». Cette prise de conscience est un pas supplémentaire vers des noyaux encore plus stables, encore plus sécurisés.

La conséquence ennuyeuse est le corollaire de la précédente : le risque d’une perte de confiance (injustifiée à notre avis) dans les programmes open source, voir un excès de paranoïa envers tout ce qui touche à l’informatique en général car le monde Windows lui aussi utilise des portions de code provenant de BSD. Dans l’immédiat, les premiers à en souffrir seront les vendeurs de vpn (logiciels ou sous forme d’appliance) qui, dans les mois à venir, devront justifier de l’origine des programmes employés et calmer les craintes de leurs clients.

Côté risque, cette « révélation » a un impact plus psychologique que technique. Régulièrement, le landernau informatique connaît des « fins du monde » spectaculaires : failles ASN1, défauts Bind/DNS, trou BGP… et pourtant, la nave va. L’aveu de Gregory Perry arrive 10 ans après son forfait. Depuis, les codes ont évolué, sont truffés de correctifs, d’améliorations, de portages, de variantes et sur-couches… lorsque l’on a, ne serait-ce qu’une fois dans sa vie, tenté d’adapter une « lib » d’une plateforme à l’autre ou essayé de modifier un logiciel sans que ses fonctionnalités premières « connues » ne soient affectées, on peut douter que le canard de Gregory Perry soit toujours vivant après tant d’aventures.

Le monde de la sécurité adore les mots nouveaux désignant des menaces aussi redoutables qu’alambiquées. La dernière en date –et à la mode-, c’est l’AET, pour Advanced Evasion Techniques, une découverte à la fois technique et sémantique de Stonesoft qui permettrait de contourner les protections des IPS en général et ceux de Cisco en particulier. Après plus de 6 mois de travaux discrets, le danger serait écarté et la divulgation de détails techniques autorisée. La liste des vulnérabilités et des captures associées est fournie par le blog Antievasion. L’on y trouve également un historique détaillé des AET rédigé par Joona Airamo, CSO de Stonesoft, qui vulgarise sans grands mots abstrus cette technique initialement découverte par Tim Newsham et Thomas Ptacek vers la fin des années 90.