Symantec refuse d'autoriser la Russie à analyser son code source
L'entreprise estime que cela comporte des risques inacceptables

Le , par Stéphane le calme, Chroniqueur Actualités
Une des raisons pour lesquelles la Russie demande les examens de code source avant d'autoriser les ventes de logiciel aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.

Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent aux entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.

C’est dans ce contexte par exemple que HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. Une décision qui lui a valu d’être sous le feu de la critique, surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée américaine afin de protéger leurs réseaux.

Mais Greg Clark, qui est à la tête de Symantec USA, ne veut plus entrer dans la danse : dans une interview accordée à Reuters, il a confié que sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs.

Reuters évoque l’avis d’experts en sécurité qui voient en la décision de Symantec une mise en exergue de la tension croissante pour les entreprises technologiques américaines « qui doivent peser leur rôle de protecteurs de la cybersécurité américaine en poursuivant leurs affaires avec certains des adversaires de Washington, y compris la Russie et la Chine. »

Alors que Symantec permettait que son code soit analysé, Clark a dit qu'il voyait maintenant les menaces de sécurité comme étant trop grandes : « À l'heure de l'augmentation du piratage par des entités parrainées par des États, Symantec a conclu que le risque de perdre la confiance des clients en autorisant les analyses de son code ne valait pas l'affaire que l'entreprise pouvait gagner. »

Le changement de la politique de l'entreprise, qui a été appliquée en début 2016, a été rapporté par Reuters en juin. Cependant, l'interview de Clark est la première explication détaillée qu'un dirigeant de Symantec a donnée au sujet de ce revirement.

Durant cet entretien qui a duré environ une heure, Clark a déclaré que l'entreprise était toujours disposée à vendre ses produits dans n'importe quel pays. Cependant, il a précisé que « Ce n'est pas la même chose que de dire “D’accord, nous allons laisser les gens les ouvrir notre code, le parcourir et voir comment tout fonctionne". »

Même si Symantec ne possède pas de preuve indiquant que ce processus d’analyse de code a déjà conduit à une cyberattaque, Clark pense que ce procédé en lui-même est inacceptable pour les clients de l’entreprise : « Ce sont des secrets, ou des choses (logiciels) qu’il est nécessaire de défendre », a-t-il déclaré en faisant allusion au code source. « Il vaut mieux le garder de cette façon. »

Bien entendu, la décision de Symantec est plus facile à prendre que plusieurs autres entreprises dans la mesure où les parts de marché de l’entreprise étaient encore relativement faibles en Russie. Néanmoins, la décision de Symantec a été saluée par la communauté occidentale de cybersécurité. « Ils ont pris position et ils ont fait passer la sécurité avant les ventes », s’est réjoui Frank Cilluffo, directeur du Center for Cyber and Homeland Security au George Washington University et ancien haut responsable de la sécurité intérieure à l'ancien président George W. Bush.

Source : Reuters

Voir aussi :

HPE a permis à des agents russes d'accéder au code source d'ArcSight, un logiciel de cyberdéfense utilisé par le Pentagone
La Russie demande à examiner les codes sources des logiciels d'Apple et SAP, une mesure supplémentaire d'anti-espionnage


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 11/10/2017 à 23:58
Même si Symantec ne possède pas de preuve indiquant que ce processus d’analyse de code a déjà conduit à une cyberattaque, Clark pense que ce procédé en lui-même est inacceptable pour les clients de l’entreprise : « Ce sont des secrets, ou des choses (logiciels) qu’il est nécessaire de défendre », a-t-il déclaré en faisant allusion au code source. « Il vaut mieux le garder de cette façon. »
Euh, comment font les logiciels antivirus opensource ?? (ClamAV, ClamTk,Armadito,A3..)

De mémoire la sécurité par l'obscurité... n'est pas trop un argument recevable, même sur un site de Microsoft on peut lire le principe de Kerckhoffs
La sécurité par l'obscurité est, pour rester simple, une violation du principe de Kerckhoffs, qui décrit un système comme étant sécurisé de par sa conception et non parce que sa conception est inconnue de l'adversaire. Le principe fondamental de Kerckhoffs est que les secrets ne restent pas secrets très longtemps.
Source: https://technet.microsoft.com/fr-fr/...obscurity.aspx
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 12/10/2017 à 8:34
Bon, la raison officielle est la sécurité de leurs utilisateurs... mais quelle est la raison officieuse ?

Ils ont peur de la contre-façon ? Ils veulent garder certains algorithmes secrets pour garder un avantage concurrentiel ? Ils ne veulent pas qu'on sache ce que contient exactement leur code, comme un petite backdoor, ou de la collecte de données personnelles ?
Avatar de BugFactory BugFactory - Membre éprouvé https://www.developpez.com
le 13/10/2017 à 20:19
Je pense que c'est surtout de la communication. Après les accusations d'espionnage contre Kaspersky, c'est le moment de gagner de nouveaux marchés.
Avatar de AndMax AndMax - Membre actif https://www.developpez.com
le 13/10/2017 à 22:05
Citation Envoyé par Neckara Voir le message
Bon, la raison officielle est la sécurité de leurs utilisateurs... mais quelle est la raison officieuse ?
Quelques raisons officieuses:
1) Leur modèle économique, basé sur des licences payantes, et aussi la privation de libertés pour leurs utilisateurs (pas le droit d'étudier le logiciel, de l'améliorer, de le copier, etc...).
2) Peut-être aussi l'absence de qualité dans leur code. Quelqu'un qui n'applique pas de bonnes pratiques en programmation sera toujours réticent pour montrer son source.
3) Peut-être aussi la présence de portes dérobées.
4) La peur de voir une petite société russe forker leur code (s'il n'est pas trop mauvais) et commercialiser leur solution sous un autre nom.

Mais la raison officielle, c'est juste une grosse blague.
Offres d'emploi IT
Technicien Système et Réseau H/F
Page Personnel - Centre - Orléans (45000)
Data Ingénieur F/H
Zenika - Nord Pas-de-Calais - Lille (59000)
Développeur Front-end Junior (Angular2 et Ionic 3) / Station F
Bluecoders - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil