Quelques notes sur une tentative d’introduire une porte dérobée dans le noyau Linux, vers 2003. Apparemment sans succès. Le commentaire contemporain était assez intéressant.

Les machines de distribution du noyau Linux ont été à nouveau compromises en 2011, mais il semble qu'aucun code n'ait été modifié cette fois-là.

MISE À JOUR: On dirait qu'un miroir sourceforge avait une version de phpMyAdmin avec une porte dérobée intégrée.

Il y avait une porte dérobée dans le CMS e107 en 2010: http://www.esecurityplanet.com/headlines/article.php/3860981/Backdoor-Found-in-e107.htm

Il y a deux mois (septembre 2012), phpmyadmin avait une porte dérobée depuis l'un des dépôts / miroirs SourceForge: http://sourceforge.net/blog/phpmyadmin-back-door/

Le FBI aurait prétendu avoir détourné la pile IPSEC d'OpenBSD en 2000: http://bsd.slashdot.org/story/10/12/15/004235/FBI-Alleged-To-Have-Backdoored-OpenBSDs- IPSEC-Stack

OpenSource a beaucoup d'avantages par rapport à la source fermée, mais cela ne signifie pas qu'un projet open source pourrait être sûr en raison de sa nature. Des tests de pénétration continus sont indispensables.

La keynote FOSDEM 2014 de Poul-Henning Kamp (architecte principal de Varnish et Ntimed) est très intéressante:

Ceci est un briefing fictif de la NSA que j'ai donné comme discours de clôture au FOSDEM 2014

L'intention était de faire rire et réfléchir les gens, mais je mets au défi quiconque de le prouver.

C'est de la fiction , mais c'est de la fiction de quelqu'un qui a beaucoup d'expérience dans les projets open source.

Voici la vidéo de 45 minutes.

Et puis il y a Comment la NSA a (peut-être) mis une porte dérobée dans la cryptographie de RSA: une introduction technique sur le blog de CloudFlare.

Je pense que la plus grande protection offerte par la plupart des projets open source est simplement de savoir qui a accès. Comme tout le monde ne peut généralement pas valider du code dans un projet, ceux qui ont reçu un accès de validation eux-mêmes ont tendance à être suffisamment actifs pour que cela ne vaille pas la peine d'essayer de faire des compromis de cette façon. (Il est plus facile d'essayer de trouver un exploit existant puisque la source est disponible.) Même si vous deviez essayer de faire un commit abusif, vous feriez beaucoup d'efforts et vous feriez face à une chance décente que votre commit escroc soit détecté par d'autres avant d'atteindre une version majeure, vous brûlant ainsi du projet et abandonnant tout le travail que vous avez fait.

Fondamentalement, parce que la difficulté est élevée et que le potentiel de récompense est faible, il n'est tout simplement pas ça ne vaut pas la peine d'essayer de compromettre un projet open source par malveillance. Le seul endroit où vous pourriez le voir tenté (du point de vue du risque par rapport à la récompense) serait que le gouvernement essaie de le faire, mais dans ce cas, ce serait probablement avec au moins un certain niveau de soutien au projet et serait soigneusement dissimulé. Il serait également très difficile de se passer d'une éventuelle détection pour la plupart des logiciels, c'est donc assez peu probable même dans ce cas.