Linux

Le gouvernement américain a-t-il infiltré le projet Debian? (Non)

Le gouvernement américain a-t-il infiltré le projet Debian? (Non) / Linux

Debian est l’une des distributions Linux les plus populaires. Il est solide, fiable et comparé à Arch et Gentoo, relativement facile à comprendre pour les nouveaux arrivants. Ubuntu est construit sur ce projet Debian contre Ubuntu: jusqu'où Ubuntu a-t-il été créé dans 10 ans? Debian vs Ubuntu: Jusqu'où Ubuntu a-t-il évolué depuis 10 ans? Ubuntu a maintenant 10 ans! La reine des distributions Linux a parcouru un long chemin depuis sa création en 2004, voyons maintenant comment elle s'est développée différemment de Debian, de la distribution… Read More, et il est souvent utilisé pour alimenter Raspberry Pi. Comment installer un système d'exploitation Pour installer un système d'exploitation sur votre Raspberry Pi Voici comment installer et exécuter un nouveau système d'exploitation sur votre Pi - et comment cloner votre configuration parfaite pour une récupération après sinistre rapide. Lire la suite .

Il est également présumé être à la portée de l'appareil de renseignement américain, selon le fondateur de Wikileaks, Julian Assange.

Ou est-ce?

S'exprimant lors de la conférence des World Hosting Days de 2014, Julian Assange a expliqué comment certains pays (ne nommant, la toux Amérique la toux) ont volontairement rendu certaines distributions Linux non sécurisées, afin de les placer sous le contrôle de leur filet de surveillance. Vous pouvez voir la citation complète après 20 minutes ici:

Mais Assange a-t-il raison??

Regard sur Debian et la sécurité

Dans son discours, Assange mentionne comment d'innombrables distributions ont été intentionnellement sabotées. Mais il mentionne Debian de nom, afin que nous puissions aussi bien nous concentrer sur celui-là.

Au cours des 10 dernières années, un certain nombre de vulnérabilités ont été identifiées dans Debian. Certaines de ces vulnérabilités sont sévères, de type zéro jour. Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf explique] Qu'est-ce qu'une vulnérabilité de jour zéro? [MakeUseOf Explains] Read More qui a affecté le système en général. D'autres ont affecté sa capacité à communiquer en toute sécurité avec des systèmes distants.

La seule vulnérabilité mentionnée explicitement par Assange est un bogue découvert dans le générateur de nombres aléatoires OpenSSL de Debian découvert en 2008..

Les nombres aléatoires (ou du moins pseudo-aléatoires; il est extrêmement difficile d'obtenir le véritable caractère aléatoire sur un ordinateur) constituent un élément essentiel du cryptage RSA. Lorsqu'un générateur de nombres aléatoires devient prévisible, l'efficacité du chiffrement diminue et il devient possible de déchiffrer le trafic..

Certes, par le passé, la NSA a délibérément affaibli la force du cryptage de qualité commerciale en réduisant l’entropie des nombres générés aléatoirement. C'était un il y a longtemps, lorsque le gouvernement américain considérait avec suspicion un cryptage puissant, et même soumis à une législation sur l'exportation d'armes. Le Code Book de Simon Singh décrit assez bien cette époque, en se concentrant sur les débuts de Pretty Good Privacy de Philip Zimmerman et sur la bataille juridique qu'il a menée contre le gouvernement américain..

Mais c'était il y a longtemps, et il semble que le virus de 2008 soit moins le résultat d'une malveillance, mais d'une incompétence technologique stupéfiante..

Deux lignes de code ont été supprimées du paquet OpenSSL de Debian car elles produisaient des messages d'avertissement dans les outils de construction Valgrind et Purify. Les lignes ont été supprimées et les avertissements ont disparu. Mais l’intégrité de la mise en œuvre de OpenSSL par Debian était fondamentalement estropié.

Comme le veut le rasoir d'Hanlon, n'attribuez jamais à la malveillance ce qui peut tout aussi bien être expliqué comme une incompétence. Incidemment, ce bug particulier a été satirisé par la bande dessinée Web XKCD.

Sur le sujet, le blog IgnorantGuru spécule également sur le récent bogue Heartbleed (que nous avons couvert l'année dernière Heartbleed - Que pouvez-vous faire pour rester en sécurité? Heartbleed - Que pouvez-vous faire pour rester en sécurité? En savoir plus) pourrait également être un produit de les services de sécurité intentionnellement essayer de saper la cryptographie sur Linux.

Heartbleed était une faille de sécurité de la bibliothèque OpenSSL qui pouvait permettre à un utilisateur malveillant de voler des informations protégées par SSL / TLS, en lisant la mémoire des serveurs vulnérables et en obtenant les clés secrètes utilisées pour chiffrer le trafic. À l'époque, cela menaçait l'intégrité de nos systèmes de banque et de commerce en ligne. Des centaines de milliers de systèmes étaient vulnérables et cela affectait presque toutes les distributions Linux et BSD..

Je ne suis pas sûr de la probabilité que les services de sécurité soient derrière.

L'écriture d'un algorithme de cryptage solide est extrêmement difficile. La mise en œuvre est également difficile. Il est inévitable qu'un jour une vulnérabilité ou une faille soit découverte (ils sont souvent dans OpenSSL. Un bogue massif dans OpenSSL met une grande partie d'Internet en péril. Un bogue massif dans OpenSSL met une grande partie d'Internet en danger. Si vous faites partie de ceux qui ont toujours cru Si la cryptographie à source ouverte est le moyen le plus sûr de communiquer en ligne, vous êtes un peu surprise (lire la suite), elle est si grave qu’un nouvel algorithme doit être créé ou une implémentation doit être réécrite..

C'est pourquoi les algorithmes de cryptage ont évolué, et de nouveaux sont construits lorsque des lacunes sont découvertes dans l'ordre..

Allégations antérieures d'ingérence gouvernementale dans une source ouverte

Bien entendu, il n’est pas rare que les gouvernements s’intéressent aux projets open source. Il n’est pas rare non plus que des gouvernements soient accusés d’avoir influé de manière tangible sur la direction ou la fonctionnalité d’un projet logiciel, que ce soit par la contrainte, l’infiltration ou en le soutenant financièrement..

Yasha Levine est l'un des journalistes d'investigation que j'admire le plus. Il écrit maintenant pour Pando.com, mais avant cela, il avait fait ses armes pour le légendaire bihebdomadaire moscovite, The Exile, qui avait été fermé en 2008 par le gouvernement de Poutine. Au cours de ses onze années d'existence, il est devenu connu pour son contenu grossier et scandaleux, tout autant que pour Levine's (et son co-fondateur, Mark Ames, qui écrit également pour Pando.com), un reportage d'enquête féroce..

Ce flair pour le journalisme d'investigation l'a suivi sur Pando.com. Au cours de la dernière année environ, Levine a publié plusieurs articles soulignant les liens entre le projet Tor et ce qu’il appelle le complexe de surveillance militaire américain. Il s’agit en réalité de l’Office of Naval Research (ONR) et des projets de recherche avancée de la Défense. Agence (DARPA).

Tor (ou Le Routeur Oignon) Navigation vraiment privée: Guide de l'utilisateur non officiel pour Tor Navigation vraiment privée: Un guide de l'utilisateur non officiel pour Tor Tor fournit une navigation et des messages de navigation et de messagerie vraiment anonymes et indétectables, ainsi qu'un accès à la soi-disant “Web profond”. Tor ne peut vraisemblablement être brisé par aucune organisation sur la planète. En savoir plus, pour ceux qui ne sont pas tout à fait à la vitesse, est un logiciel qui anonymise le trafic en le renvoyant à travers plusieurs points d'extrémité chiffrés. L'avantage est que vous pouvez utiliser Internet sans révéler votre identité ni être soumis à la censure locale, ce qui est pratique si vous vivez dans un régime répressif, comme la Chine, Cuba ou l'Erythrée. L’un des moyens les plus simples de l’obtenir est avec le navigateur Tor, basé sur Firefox, dont j’ai parlé il ya quelques mois. Comment naviguer officiellement sur Facebook sur Tor Comment naviguer officiellement sur Facebook sur Tor Remarquablement, Facebook a lancé une adresse .onion pour que les utilisateurs de Tor puissent accéder au réseau social populaire. Nous vous montrons comment y accéder dans le navigateur Tor. Lire la suite .

Incidemment, le support par lequel vous vous retrouvez en train de lire cet article est en soi un produit de l'investissement de la DARPA. Sans ARPANET, il n'y aurait pas d'Internet.

Pour résumer les points soulevés par Levine: puisque TOR reçoit la majeure partie de son financement du gouvernement américain, il est donc inexorablement lié à ce dernier et ne peut plus fonctionner de manière indépendante. Il y a également un certain nombre de contributeurs du TOR qui ont déjà travaillé avec le gouvernement américain sous une forme ou une autre..

Pour lire les points de Levine dans leur intégralité, lisez “Presque toutes les personnes impliquées dans le développement de Tor étaient (ou sont) financées par le gouvernement américain.”, publié le 16 juillet 2014.

Ensuite, lisez cette réfutation de Micah Lee, qui écrit pour The Intercept. Pour résumer les contre-arguments: le DOD est tout aussi dépendant du TOR pour protéger ses agents, le projet TOR a toujours été ouvert sur la provenance de leurs finances..

Levine est un grand journaliste, pour lequel j’ai beaucoup d’admiration et de respect. Mais je crains parfois qu’il tombe dans le piège de penser que les gouvernements - tous les gouvernements - sont des entités monolithiques. Ils ne sont pas. C'est plutôt une machine complexe avec différents rouages ​​indépendants, chacun ayant ses propres intérêts et motivations, travaillant de manière autonome.

Ses totalement plausible qu'un ministère du gouvernement serait prêt à investir dans un outil d'émancipation, tandis qu'un autre adopterait un comportement anti-liberté et anti-vie privée.

Et comme Julian Assange l'a démontré, il est remarquablement simple de supposer qu'il existe un complot, alors que l'explication logique est beaucoup plus innocente..

Les théoriciens du complot sont ceux qui réclament une dissimulation lorsqu'il existe des données insuffisantes pour confirmer ce qui est vrai..

- Neil deGrasse Tyson (@neiltyson) 7 avril 2011

Avons-nous atteint Peak WikiLeaks?

Est-ce juste moi, ou avons passé les meilleurs jours de WikiLeaks?

Il n'y a pas si longtemps, Assange s'exprimait lors d'événements TED à Oxford et lors de conférences sur les hackers à New York. La marque WikiLeaks était forte et révélait des éléments très importants, tels que le blanchiment d’argent dans le système bancaire suisse et la corruption endémique au Kenya..

Maintenant, WikiLeaks a été éclipsé par le personnage d’Assange - un homme qui vit dans un exil auto-imposé dans l’ambassade de l’Équateur à Londres, après avoir fui de très graves accusations criminelles en Suède..

Assange lui-même semble avoir été incapable de dépasser sa notoriété antérieure et a maintenant entrepris de faire des déclarations extravagantes à quiconque voudrait l'écouter. C'est presque triste. Surtout quand on sait que Wikileaks a fait un travail assez important qui a depuis été déraillé par Julian Assange..

Mais quoi que vous pensiez d'Assange, il y a une chose qui est presque certaine. Il n'y a absolument aucune preuve que les États-Unis aient infiltré Debian. Ou toute autre distribution Linux, d'ailleurs.

Crédits photos: 424 (XKCD), Code (Michael Himbeault)

Explorer plus sur: Debian, Linux, Confidentialité en ligne, Surveillance.