Le gouvernement américain a-t-il infiltré le projet Debian? (Non)

Publicité

Debian est l'une des distributions Linux les plus populaires. Il est solide, fiable et comparé à Arch et Gentoo, relativement facile à saisir pour les nouveaux arrivants. Ubuntu est construit sur elle Debian vs Ubuntu: jusqu'où Ubuntu est-il arrivé en 10 ans?Ubuntu a maintenant 10 ans! Le roi des distributions Linux a parcouru un long chemin depuis sa création en 2004, alors regardons comment il a évolué différemment de Debian, la distribution sur ... Lire la suite , et il est souvent utilisé pour alimenter le Raspberry Pi Comment installer un système d'exploitation sur un Raspberry PiVoici comment installer un système d'exploitation sur votre Raspberry Pi et comment cloner votre configuration parfaite pour une reprise après sinistre rapide. Lire la suite .

Il est également supposé être à la portée de l'appareil de renseignement américain, selon le fondateur de Wikileaks, Julian Assange.

Ou est-ce?

S'exprimant lors de la conférence des Journées mondiales de l'hébergement 2014, Julian Assange a décrit comment certains États-nations (ne nommer aucun nom,

toux Amérique toux) ont intentionnellement rendu certaines distributions Linux non sécurisées, afin de les placer sous le contrôle de leur réseau de surveillance. Vous pouvez voir le devis complet après la marque des 20 minutes ici:

Mais Assange a-t-il raison?

Un regard sur Debian et la sécurité

Dans le discours d'Assange, il mentionne comment d'innombrables distributions ont été intentionnellement sabotées. Mais il mentionne Debian de nom, donc nous pourrions aussi bien nous concentrer sur celui-ci.

Au cours des 10 dernières années, un certain nombre de vulnérabilités ont été identifiées dans Debian. Certains d'entre eux ont été graves, vulnérabilités de style zero-day Qu'est-ce qu'une vulnérabilité Zero Day? [MakeUseOf explique] Lire la suite qui a affecté le système en général. D'autres ont affecté sa capacité à communiquer en toute sécurité avec des systèmes distants.

La seule vulnérabilité qu'Assange mentionne explicitement est un bogue dans le générateur de nombres aléatoires OpenSSL de Debian qui était découvert en 2008.

Nombres aléatoires (ou, au moins pseudo-aléatoires; il est extrêmement difficile d’obtenir un véritable caractère aléatoire sur un ordinateur) est un élément essentiel du chiffrement RSA. Lorsqu'un générateur de nombres aléatoires devient prévisible, l'efficacité du chiffrement chute et il devient possible de déchiffrer le trafic.

Certes, dans le passé, la NSA a intentionnellement affaibli la force du cryptage de qualité commerciale en réduisant l'entropie des nombres générés de manière aléatoire. C'était un il y a longtemps, lorsque le cryptage fort était considéré avec suspicion par le gouvernement américain, et même soumis à la législation sur l'exportation d'armes. Simon Singh Le livre de codes décrit assez bien cette époque, en se concentrant sur les débuts de Pretty Good Privacy de Philip Zimmerman et sur la bataille juridique lancée qu'il a menée avec le gouvernement américain.

Mais c'était il y a longtemps, et il semble que le bug de 2008 était moins le résultat de la malveillance, mais plutôt une incompétence technologique étonnante.

Deux lignes de code ont été supprimées du paquet OpenSSL de Debian car elles produisaient des messages d'avertissement dans les outils de construction Valgrind et Purify. Les lignes ont été supprimées et les avertissements ont disparu. Mais l’intégrité de l’implémentation d’OpenSSL par Debian était fondamentalement paralysé.

Comme Rasoir de Hanlon dicte, n'attribue jamais à la malveillance ce qui peut tout aussi bien s'expliquer que l'incompétence. Par ailleurs, ce bug particulier était satirisé par la bande dessinée web XKCD.

Écrivant sur le sujet, le IgnorantGuru Blog spécule également le récent bug Heartbleed (que nous couvert l'année dernière Heartbleed - Que pouvez-vous faire pour rester en sécurité? Lire la suite ) aurait également pu être le produit des services de sécurité intentionnellement essayer de saper la cryptographie sous Linux.

Heartbleed était une vulnérabilité de sécurité dans la bibliothèque OpenSSL qui pouvait potentiellement voir un utilisateur malveillant voler des informations protégé par SSL / TLS, en lisant la mémoire des serveurs vulnérables et en obtenant les clés secrètes utilisées pour crypter le trafic. À l'époque, il menaçait l'intégrité de nos systèmes bancaires et commerciaux en ligne. Des centaines de milliers de systèmes étaient vulnérables, et cela affectait presque toutes les distributions Linux et BSD.

Je ne sais pas dans quelle mesure il est probable que les services de sécurité étaient derrière.

L'écriture d'un algorithme de chiffrement solide est extrêmement difficile. Sa mise en œuvre est également difficile. Il est inévitable qu’une vulnérabilité ou un défaut soit finalement découvert (ils sont souvent en OpenSSL Un bogue massif dans OpenSSL met en danger une grande partie d'InternetSi vous faites partie de ces personnes qui ont toujours cru que la cryptographie open source est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surpris. Lire la suite ) qui est si sévère, un nouvel algorithme doit être créé ou une implémentation réécrite.

C’est pourquoi les algorithmes de chiffrement ont suivi un chemin évolutif, et de nouveaux sont créés lorsque des déficiences sont découvertes dans l’ordre.

Allégations précédentes d'ingérence gouvernementale dans l'open source

Bien sûr, il n’est pas rare que les gouvernements s’intéressent aux projets open source. Il n’est pas rare non plus que des gouvernements soient accusés d’influencer concrètement la direction ou fonctionnalité d'un projet logiciel, soit par la contrainte, l'infiltration ou en le soutenant financièrement.

Yasha Levine est l'un des journalistes d'investigation que j'admire le plus. Il écrit maintenant pour Pando.com, mais avant cela, il s'est coupé les dents en écrivant pour le légendaire moscovite toutes les deux semaines, L'exil qui a été fermé en 2008 par le gouvernement de Poutine. Au cours de sa durée de vie de onze ans, il est devenu connu pour son contenu grossier et scandaleux autant que pour Levine's (et co-fondateur Mark Ames, qui écrivent également pour Pando.com), un rapport d'enquête féroce.

Ce flair pour le journalisme d'investigation l'a suivi sur Pando.com. Au cours de la dernière année, Levine a publié un certain nombre d'articles mettant en évidence les liens entre le projet Tor et ce qu'il appelle le complexe de surveillance militaire américain, mais c'est vraiment le Office de recherche navale (ONR) et le Agence des projets de recherche avancée pour la défense (DARPA).

Tor (ou, le routeur oignon) Navigation vraiment privée: Guide de l'utilisateur non officiel de TorTor fournit une navigation et une messagerie véritablement anonymes et introuvables, ainsi qu'un accès au soi-disant «Deep Web». Tor ne peut vraisemblablement être brisé par aucune organisation de la planète. Lire la suite , pour ceux qui ne sont pas tout à fait à jour, est un logiciel qui anonymise le trafic en le renvoyant via plusieurs points de terminaison chiffrés. L'avantage de ceci est que vous pouvez utiliser Internet sans révéler votre identité ou être soumis à la censure locale, ce qui est pratique si vous vivez dans un régime répressif, comme la Chine, Cuba ou l'Érythrée. L'un des moyens les plus simples pour l'obtenir est d'utiliser le navigateur Tor basé sur Firefox, qui J'en ai parlé il y a quelques mois Comment parcourir Facebook sur Tor en 5 étapesVous voulez rester en sécurité lorsque vous utilisez Facebook? Le réseau social a lancé une adresse .onion! Voici comment utiliser Facebook sur Tor. Lire la suite .

Soit dit en passant, le support sur lequel vous vous retrouvez à lire cet article est lui-même un produit de l'investissement DARPA. Sans pour autant ARPANET, il n'y aurait pas d'Internet.

Pour résumer les arguments de Levine: puisque TOR obtient la majorité de son financement du gouvernement américain, il est donc inexorablement lié à eux et ne peut plus fonctionner de manière indépendante. Il existe également un certain nombre de contributeurs au TOR qui ont déjà travaillé avec le gouvernement américain sous une forme ou une autre.

Pour lire l'intégralité des points de Levine, lisez "Presque toutes les personnes impliquées dans le développement de Tor ont été (ou sont) financées par le gouvernement américain", publié le 16 juillet 2014.

alors lire cette réfutation, par Micah Lee, qui écrit pour The Intercept. Pour résumer les contre-arguments: le DOD est tout aussi dépendant des TOR pour protéger leurs agents, le projet TOR a toujours été ouvert sur la provenance de leurs finances.

Levine est une grande journaliste, une personne pour laquelle j'ai beaucoup d'admiration et de respect. Mais je crains parfois qu'il tombe dans le piège de penser que les gouvernements - tout gouvernement - sont des entités monolithiques. Ils ne le sont pas. C'est plutôt une machine complexe avec différents rouages ​​indépendants, chacun avec ses propres intérêts et motivations, travaillant de manière autonome.

Ses totalement plausible qu'un ministère du gouvernement serait prêt à investir dans un outil d'émancipation, tandis qu'un autre adopterait un comportement anti-liberté et anti-vie privée.

Et tout comme Julian Assange l'a démontré, il est remarquablement simple de supposer qu'il y a une conspiration, lorsque l'explication logique est beaucoup plus innocente.

Les théoriciens du complot sont ceux qui réclament des dissimulations chaque fois que les données sont insuffisantes pour confirmer ce qui est sûr.

- Neil deGrasse Tyson (@neiltyson) 7 avril 2011

Avons-nous atteint Peak WikiLeaks?

Est-ce juste moi ou les meilleurs jours de WikiLeaks se sont-ils écoulés?

Il n'y a pas si longtemps, Assange s'exprimait lors d'événements TED à Oxford et de conférences de hackers à New York. La marque WikiLeaks était forte et révélait des choses vraiment importantes, comme le blanchiment d'argent dans le système bancaire suisse et la corruption endémique au Kenya.

Maintenant, WikiLeaks a été éclipsé par le personnage d'Assange - un homme qui vit dans une auto-imposée exilé à l'ambassade de l'Équateur à Londres, après avoir fui des allégations criminelles assez graves en Suède.

Assange lui-même n'a apparemment pas été en mesure de surpasser sa notoriété antérieure, et a maintenant pris l'habitude de faire des déclarations bizarres à quiconque écoutera. C'est presque triste. Surtout quand on considère que WikiLeaks a fait un travail assez important qui a depuis déraillé par le side-show de Julian Assange.

Mais quoi que vous pensiez d'Assange, il y a une chose qui est presque certaine. Il n'y a absolument aucune preuve que les États-Unis aient infiltré Debian. Ou toute autre distribution Linux, d'ailleurs.

Crédits photo: 424 (XKCD), Code (Michael Himbeault)