Une des raisons pour lesquelles la Russie demande les examens de code source avant d'autoriser les ventes de logiciel aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent aux entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.
C’est dans ce contexte par exemple que HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. Une décision qui lui a valu d’être sous le feu de la critique, surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée américaine afin de protéger leurs réseaux.
Mais Greg Clark, qui est à la tête de Symantec USA, ne veut plus entrer dans la danse : dans une interview accordée à Reuters, il a confié que sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs.
Reuters évoque l’avis d’experts en sécurité qui voient en la décision de Symantec une mise en exergue de la tension croissante pour les entreprises technologiques américaines « qui doivent peser leur rôle de protecteurs de la cybersécurité américaine en poursuivant leurs affaires avec certains des adversaires de Washington, y compris la Russie et la Chine. »
Alors que Symantec permettait que son code soit analysé, Clark a dit qu'il voyait maintenant les menaces de sécurité comme étant trop grandes : « À l'heure de l'augmentation du piratage par des entités parrainées par des États, Symantec a conclu que le risque de perdre la confiance des clients en autorisant les analyses de son code ne valait pas l'affaire que l'entreprise pouvait gagner. »
Le changement de la politique de l'entreprise, qui a été appliquée en début 2016, a été rapporté par Reuters en juin. Cependant, l'interview de Clark est la première explication détaillée qu'un dirigeant de Symantec a donnée au sujet de ce revirement.
Durant cet entretien qui a duré environ une heure, Clark a déclaré que l'entreprise était toujours disposée à vendre ses produits dans n'importe quel pays. Cependant, il a précisé que « Ce n'est pas la même chose que de dire “D’accord, nous allons laisser les gens les ouvrir notre code, le parcourir et voir comment tout fonctionne". »
Même si Symantec ne possède pas de preuve indiquant que ce processus d’analyse de code a déjà conduit à une cyberattaque, Clark pense que ce procédé en lui-même est inacceptable pour les clients de l’entreprise : « Ce sont des secrets, ou des choses (logiciels) qu’il est nécessaire de défendre », a-t-il déclaré en faisant allusion au code source. « Il vaut mieux le garder de cette façon. »
Bien entendu, la décision de Symantec est plus facile à prendre que plusieurs autres entreprises dans la mesure où les parts de marché de l’entreprise étaient encore relativement faibles en Russie. Néanmoins, la décision de Symantec a été saluée par la communauté occidentale de cybersécurité. « Ils ont pris position et ils ont fait passer la sécurité avant les ventes », s’est réjoui Frank Cilluffo, directeur du Center for Cyber and Homeland Security au George Washington University et ancien haut responsable de la sécurité intérieure à l'ancien président George W. Bush.
Source : Reuters
Voir aussi :
HPE a permis à des agents russes d'accéder au code source d'ArcSight, un logiciel de cyberdéfense utilisé par le Pentagone La Russie demande à examiner les codes sources des logiciels d'Apple et SAP, une mesure supplémentaire d'anti-espionnage 
Envoyé par Neckara
