Selon des documents consultés par Reuters, HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. HPE a été critiqué pour cela surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée US pour protéger leurs réseaux.L'examen du code du logiciel de HPE a été réalisé par une entreprise nommée Echelon, connue pour avoir des liens étroits avec l'armée russe, et a été fait pour le compte du Service fédéral russe de contrôle technique et de l'exportation (FSTEC), une agence chargée de valider les produits considérés comme sensibles avant leur importation sur le territoire russe.
L’information a été confirmée par le patron d’Echelon, Alexey Markov et par le FSTEC, mais également par HPE. Alexey Markov a déclaré dans un email à Reuters qu'il était tenu de signaler au gouvernement russe toute vulnérabilité découverte par son équipe. Mais il dit qu'il le fait seulement après avoir alerté le développeur du logiciel du problème et obtenu sa permission de divulguer la vulnérabilité. La FSTEC a également confirmé que les laboratoires d'examens russes informent immédiatement les développeurs étrangers s'ils découvrent des vulnérabilités avant de les soumettre à une « base de données sur les menaces pour la sécurité de l'information » du gouvernement russe.
Pour Greg Martin, un ancien architecte de sécurité d'ArcSight, l'examen du code source par la Russie constitue lui-même « une énorme vulnérabilité de sécurité », parce qu'on donne « définitivement » un accès au logiciel et des exploits potentiels à un adversaire. Il est rejoint par des sources de l'armée américaine et d'autres anciens employés d'ArcSight qui estiment que l'examen du fonctionnement interne du code source du logiciel pourrait aider la Russie à détecter les points faibles potentiels dans le système cyberdéfense du Pentagone qui pourrait être ciblé dans de futures attaques.
Mais pour HPE, les questions concernant les potentielles vulnérabilités sont « hypothétiques et de nature spéculative » et aucune « vulnérabilité de porte dérobée » n'a été découverte dans l'examen de son code source. Une porte-parole de l’entreprise a déclaré que les examens de code source sont menés par la société russe dans un centre de recherche et de développement de HPE en dehors de la Russie. L’éditeur de logiciels dit surveiller de près le processus de sorte qu’aucun code ne puisse être sorti de son site. Ces mesures garantissent que « notre code source et nos produits ne sont en aucun cas compromis », a-t-elle déclaré.
HPE a permis que son code source soit inspecté par la Russie afin d’obtenir les certifications nécessaires pour vendre son produit auprès du secteur public russe. Une des raisons pour laquelle la Russie demande les examens de code source avant d'autoriser les ventes aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.
Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent aux entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.
Après avoir soumis ArcSight à cet examen, il faut noter que le logiciel de HPE est maintenant utilisé par un certain nombre d'entreprises d'État et de sociétés proches du Kremlin, y compris VTB Bank et le groupe de médias Rossiya Segodnya.
Un certain nombre de sociétés internationales, y compris Cisco, le leader mondial du matériel réseau, et le géant de logiciels allemand SAP, ont accepté de se plier à ces inspections de code source. Certaines entreprises cependant, y compris la firme de cybersécurité Symantec, ont refusé cet examen en raison de problèmes de sécurité.
Source : Reuters
Et vous ?
Qu'en pensez-vous ?Voir aussi :
Chine : le code source des firmes étrangères sera inspecté par un présumé cyberespion à la solde du gouvernement Après LinkedIn, la Russie menace de bannir Facebook, si l'entreprise refuse de stocker les données des utilisateurs russes dans le pays Poutine veut éradiquer les logiciels de Microsoft de la Russie, de peur qu'ils soient utilisés par les États-Unis pour infiltrer les systèmes russes 
