[humeur] Grand Frère vous observe

Un message sur la liste de diffusion Bugtraq remet d'actualité la grande thèse conspirationniste consistant à dire que la NSA a implémenté (implanté ?) des portes dérobées dans Windows afin d'avoir la mainmise sur 90 % des ordinateurs personnels de la planète. Le site Cryptome donne en effet une longue liste de plages IP prétendument détenues ou affiliées à l'organisme de renseignement américain. Impossible bien sûr de vérifier l'information, concernant ici les PDA sous Windows Mobile.

Cette histoire ne date pas d'aujourd'hui. Déjà en 1999, une analyse des symboles de déboguage (si, si...) de Windows NT4 met au jour l'existence d'une variable "_NSAKEY" dans la bibliothèque ADVAPI.DLL et les réponses approximatives de Microsoft à l'époque n'avaient pas été franchement rassurantes.

De même, en janvier 2007, le Washington Post révèle que la NSA et Microsoft ont travaillé la main dans la main sur la sécurité de Vista, information confirmée par la suite par Microsoft. C'est probablement la première fois qu'un organisme de renseignement gouvernemental travaille dès la phase de développement sur un système d'exploitation propriétaire. Pas de quoi être très rassurés non plus.

"Les logiciels libres ! Là, au moins, on est rassurés !" Ah bon ? C'est sûr que c'est un avantage indéniable d'avoir accès au code source pour s'assurer de son intégrité. Mais effectuons-nous les vérifications nécessaires ? Combien d'entre nous ont lu le code source de Firefox, d'OpenOffice ou du noyau Linux ? A-t-on oublié que le module SELinux a été développé par la NSA en personne ? N'a-t-on pas confiance dans les logiciels libres parce tout le monde en fait de même ? Qui s'est assuré que GCC lui-même ne contient pas de telles backdoors ? En matière de sécurité, point de certitude... Juste un risque à mesurer et des ressources à adapter aux besoins.