Tiens, la tête d’une vieille chimère Unixienne vient de réapparaître : l’affaire des trappes de la NSA dans les codes « open ». Version lisible et simplifiée dans les pages de notre confrère Guizmodo, édition originale « special geeks » dans les archives de la Mailing List Openbsd-Tech. En deux mots, Gregory Perry, l’un des développeurs d’un stack IPSec sous BSD vient d’avouer qu’une partie de ses productions contiennent une porte dérobée offrant au FBI un accès en lecture directe sur les vpn employant ladite pile.
Considérée parfois comme une légende, parfois comme une « raison non prouvée mais nécessaire et suffisante », cette histoire de « trappes NSA » (ou autre « agence à trois lettres ») fait partie de l’arsenal des arguments marketing de tout bon vendeur de produits de sécurité. Arguments d’autant plus fondés que des pans entiers de code BSD ont été réutilisés, notamment sous Linux, rendant « non négligeable » la probabilité de retrouver lesdites trappes dans un code Debian par exemple.
Dans les faits, cet aveu risque d’avoir deux conséquences : l’une bénéfique, l’autre légèrement enquiquinante. La bénéfique, tout d’abord, car une telle annonce bat en brèche la certitude béate qu’un code Open Source est dénué de pièges « car nécessairement un membre de la communauté s’en serait aperçu »… découvrir une aiguille dans une botte de code de plusieurs centaines de milliers de lignes est une tâche quasi impossible, surtout si l’auteur de la backdoor est un dieu de l’écriture C « vicieuse et non documentée ». Cette prise de conscience est un pas supplémentaire vers des noyaux encore plus stables, encore plus sécurisés.
La conséquence ennuyeuse est le corollaire de la précédente : le risque d’une perte de confiance (injustifiée à notre avis) dans les programmes open source, voir un excès de paranoïa envers tout ce qui touche à l’informatique en général car le monde Windows lui aussi utilise des portions de code provenant de BSD. Dans l’immédiat, les premiers à en souffrir seront les vendeurs de vpn (logiciels ou sous forme d’appliance) qui, dans les mois à venir, devront justifier de l’origine des programmes employés et calmer les craintes de leurs clients.
Côté risque, cette « révélation » a un impact plus psychologique que technique. Régulièrement, le landernau informatique connaît des « fins du monde » spectaculaires : failles ASN1, défauts Bind/DNS, trou BGP… et pourtant, la nave va. L’aveu de Gregory Perry arrive 10 ans après son forfait. Depuis, les codes ont évolué, sont truffés de correctifs, d’améliorations, de portages, de variantes et sur-couches… lorsque l’on a, ne serait-ce qu’une fois dans sa vie, tenté d’adapter une « lib » d’une plateforme à l’autre ou essayé de modifier un logiciel sans que ses fonctionnalités premières « connues » ne soient affectées, on peut douter que le canard de Gregory Perry soit toujours vivant après tant d’aventures.