Avons-nous des Backdoors dans les OS de nos PC / serveurs ?

Ne soyons pas naïfs, les pressions à créer des backdoors étaient inévitables. On a maintenant la preuve qu’elles existent comme le rappelle cette interview de Linus Torvalds, que la NSA a manifestement approché. Comme le fait remarquer Greg Ferro qui a été ma source de ce lien, les présomptions sur les OS de Microsoft sont très très fortes (cf. les coopérations de Skype depuis son entrée dans ce groupe industriel).

Par contre, je différerais de Greg Ferro dans la foi que Linus Torvalds soit capable de maintenir une vision sur tous les détails de ce qui est maintenant inséré dans Linux. D’autant qu’il n’est impliqué que dans la gestion du noyau, pas de toutes les librairies indispensables à l’OS complet (GNU tools mais pas seulement). Donc le RedHat Linux, par exemple, qui est dans votre serveur n’est pas forcément inoffensif.

Cela ne veut pas dire non plus que tout ce qui se passe sur nos machines est rapporté à des agences de renseignements. Elles seraient noyées sous un déluge d’information qui aurait en plus l’effet de rendre les flux correspondants facilement détectables.

Par contre, cela doit être un indice supplémentaire qu’il faut surveiller de près le trafic sur ses réseaux. Par exemple, vos machines n’ont aucune raison de discuter avec des serveurs exotiques. Créer de la diversité fournisseurs peut être également une mesure de précaution. Et pour finir, si votre travail est vraiment sensible, il faut suivre les  bons pratiques militaires et utiliser des machines non connectées.

 

 

Et aussi

  • 9 novembre 2012 Comment revisiter les classiques : ping Un grand cuisinier sait revisiter de temps en temps ses recettes classiques pour parfaire ses gestes de base et vérifier ses ustensiles. Les ingénieurs réseaux ont toujours besoin d'un bon outil pour pinger et celui fournit par l'OS de leur PC n'est pas forcément le meilleur. Voici trois alternatives qui méritent d'être signalées. PsPing CryPing Fping Ce message a été […]
  • 1 octobre 2013 Quelle heure est-il ? De nos jours, on ne se pose plus de question pour avoir l’heure. Tous nos systèmes connectés nous présentent une horloge, que ce soit notre PC, nos téléphones multiples, qu’ils soient fixes, de bureau ou mobiles, notre box à la maison, notre réfrigérateur en sera surement bientôt capable. Mais alors pourquoi tous ces systèmes ne sont-ils pas à l’heure ? Cette question est plus […]
  • 8 octobre 2013 Authentification des utilisateurs, peut-on avancer ? Authentifier des utilisateurs est aujourd’hui un vrai enjeu de sécurité. Tout le monde connait la faiblesse des mots de passe utilisés et sait combien il est compliqué de faire évoluer les choses dans ce domaine (cf  Born to be breached: the worst passwords are still the most common  [en]). Néanmoins, la sécurité de l’information est un réel sujet d’actualité qu’il faut en permanence […]