Oui, la NSA a bien essayé d'intégrer une porte dérobée dans Linux

La NSA a bien demandé à Linus Torvalds s’il était possible d’introduire au moins une porte dérobée au sein de Linux. Alors même que le père du noyau avait donné une réponse ambiguë il y a plus d’un mois, son père, député européen a répondu de manière beaucoup plus claire.

Linus Torvalds, deuxième en partant de la gauche

Portes dérobées et failles : une manne pour la NSA

À travers les multiples révélations sur la NSA (National Security Agency) et ses activités de surveillance, grâce aux milliers de documents dérobés par le lanceur d’alertes Edward Snowden, on a pu prendre connaissance des efforts de l’agence pour contourner de nombreux mécanismes de sécurité. L’agence américaine tente par tous les moyens d'éviter de devoir casser des protections, soit en obtenant les données avant leur chiffrement par exemple, soit via des failles et des portes dérobées qui servent de passage au travers des murailles numériques.

Cet aspect du travail de la NSA est particulièrement intéressant dans le sens où ses représentants approchent régulièrement des entreprises ou des développeurs impliqués. Dans le cas d’un travail sur un protocole de sécurité par exemple, la loi américaine oblige les auteurs à présenter leur projet à la NSA en vue d’améliorations si ledit protocole doit être utilisé par le gouvernement ou toute structure fédérale. L’agence tient son rôle mais dispose, selon les documents fournis par Snowden, d’une face cachée, chargée de détecter toutes les faiblesses potentielles afin d’être en mesure de les exploiter plus tard.

Cette approche des personnes ou entreprises impliquées dans l’informatique se retrouve largement dans la polémique du programme Prism. Bien qu’il ne s’agisse que l’un des maillons de la chaine du renseignement à la NSA, il est capital, car implique les grands noms de l’informatique dans le cloud, à savoir Microsoft, Apple, Google, Yahoo ou encore Facebook. Selon les documents de Snowden encore une fois, ces grandes sociétés fournissent sur une base plus ou moins volontaire des informations sur leurs utilisateurs. Évidemment, de leur côté, on nie avec véhémence ces accusations et on répète que seules les demandes ponctuelles et spécifiquement autorisées par un juge peuvent donner lieu à de telles diffusions d’informations.

La question du libre

Mais qu’en est-il du libre ? La situation est plus complexe, car dans la plupart des cas, il n’existe pas d’organes centralisateurs, la plupart des projets étant gérés à travers de nombreux consensus et des décisions collégiales. Il arrive en outre que certaines créations proviennent de grandes entreprises choisissant l’open source pour une raison ou une autre. On a pu le voir ainsi avec le cas récent de Cisco qui a décidé d’ouvrir son codec H.264 et de s’associer avec Mozilla.

Mais la question d’un contact éventuel entre le monde du renseignement américain et celui de l’open source demeure, car les réponses sont, au mieux, partielles. Par exemple, on le sait que la NSA a très largement participé au développement de l’infrastructure de sécurité SELinux. Mais qu’en est-il des distributions elles-mêmes ? Et du noyau qui y siège ?

Il y a deux mois tout juste maintenant, Linus Torvalds, à l’origine dudit noyau, participait à la conférence LinuxCon & CloudOpen North America 2013 qui se tenait à La Nouvelle-Orléans. Comme on peut le voir dans la vidéo ci-dessus (à partir de 24min15), Torvalds répond de manière très particulière à la question « L’un d’entre vous a-t-il déjà été approché par les États-Unis pour une porte dérobée ? » : il hoche la tête en signe d’affirmation tout en répondant « Nooooon ». Déclenchant l’hilarité de la salle.

Le père de Linus Torvalds confirme l'approche par la NSA

Torvalds n’a jamais répondu clairement à cette question, et l’explication est finalement arrivée en fin de semaine dernière. Le père de Linus, Nils Torvalds, est député européen. Des audiences se tenaient la semaine dernière sur le thème de la surveillance et une représente de Microsoft était présente. Interrogée sur la possibilité que l’entreprise ait pu placer délibérément une porte dérobée dans ses produits, elle n’a apporté aucune réponse. Mais Nils Torvalds a eu dans la foulée une réaction plus qu’intéressante (à 3h08 dans la vidéo ci-dessous).

« Quand la même question a été posée à mon fils ainé, « A-t-il déjà été approché par la NSA pour des portes dérobées ? », il a répondu « non », mais il a hoché la tête en même temps. Il est ainsi resté dans une zone légale. Il a donné la bonne réponse, mais tout le monde a pu comprendre que la NSA l’avait bel et bien contacté ». En clair, l’agence américaine a tenté un contact avec le père du noyau Linux pour inclure au moins un moyen de pouvoir obtenir aisément des informations sur les machines équipées de distributions libres.

Christian Engström, également député européen, explique sur le site Falkvinge.net son opinion sur le sujet. Selon lui, il est impossible que Torvalds ait pu tenter d’inclure une porte dérobée pour une raison simple : le caractère open source du noyau Linux rend difficile une telle mise en place, car les ajouts sont inspectés par les autres développeurs. Cette révision permanente du code serait donc la meilleure garantie contre de tels projets.

Les propos de Nils Torvalds pointent quoi qu’il en soit dans une direction précise : la NSA a bien approché Linus. L’explication de la réponse ambiguë tient d’ailleurs probablement dans un fait assez simple : le père du noyau Linux est citoyen américain depuis maintenant trois ans environ. Il est donc soumis aux mêmes lois que Microsoft, Apple, Google et les autres sur les communications avec la NSA.

Source: pcimpact traduit de Falkvinge.net