Ces accusations ont été rendues publiques par Theo de Raadt, développeur principal du projet OpenBSD, un OS Open Source, dont ses composants sont largement utilisés dans d'autres systèmes d'exploitation basés sur Unix. Il a publié un e-mail émis par Gregory Perry, un ancien consultant sécurité pour le gouvernement. « Ce message était privé et provient d'une personne à qui je n'ai pas parlé depuis plus de 10 ans », écrit Theo de Raadt dans un forum de discussion sur l'OS Open Source. «  Je refuse de faire partie d'un tel complot et je ne contacterais pas Grégoire Perry sur ce sujet. Je le rends donc public. » Personne n'a pour l'instant contesté les propos de Grégoire Perry, mais les allégations sont remarquables. Si elles sont vraies - les spécialistes de la sécurité demeurent sceptiques -, cela signifie que le FBI aurait développé des moyens secrets pour espionner le trafic chiffré, puis les aurait dissimulés dans le code source officiel d'OpenBSD.

Grégoire Perry est PDG de la société GoVirtual Education. En réponse à des questions posées par mail par notre confrère CSO, le dirigeant a déclaré que le code des backdoors a été développé pour donner au FBI un moyen de surveiller les communications chiffrées au sein du ministère américain de la Justice. Gregory Perry dit qu'il a travaillé avec le FBI, alors qu'il était directeur technologique (CTO) de NetSec. Il a aidé à la création d'une cellule mise en place dans la fin des années 1990 pour aider les forces de l'ordre à contourner les techniques de chiffrement utilisées par les criminels.

Une expertise prouvée, des spécialistes sceptiques

Son expertise a permis de casser des codes de chiffrements, y compris par ce que l'on dénomme des attaques par canaux cachés. Un projet sur lequel Grégoire Perry a travaillé sur un réseau privé virtuel (VPN) utilisé par le département américain de la Justice lequel comprenait des backdoors installés par le FBI pour qu'il puisse potentiellement récupérer des décisions de jury  provenant de diverses juridictions aux États-Unis ou à l'étranger. Un porte-parole du FBI n'a pas souhaité apporter de précisions sur ce sujet. Grégoire Perry a affirmé avoir transmis l'e-mail à Theo de Raadt, car son accord de non-divulgation avec le FBI vient d'expirer.

Sur cette affaire, Theo de Raadt a misé sur la transparence en publiant ces accusations. « Je ne connais pas beaucoup de personnes ou d'entreprises qui ont fait la même chose », souligne Dan Kaminsky, un consultant en sécurité reconnu, qui a travaillé sur les questions de sécurité du projet OpenBSD. Dans un message, le fondateur du projet  propose aux développeurs de vérifier leur code et offre aux personnes incriminées la possibilité de se défendre. Cela a été le cas de Scott Lowe, expert en virtualisation chez EMC, qui a été cité par Grégoire Perry. « Je ne sais pas comment la personne qui a lancé cette rumeur a obtenu son information, mais il se trompe en sur ma participation à de tels agissements », explique en tout cas Scott Lowe sur son blog.

Dan Kaminsky n'écarte pas l'idée de la véracité des propos de l'ancien dirigeant de Netsec, mais il est sceptique. « Il n'y a aucun moyen de vraiment le savoir. Je pense que la grande question c'est : va-t-il renouveler publiquement ses accusations ? » souligne l'expert en sécurité.