Après Symantec, McAfee décide à son tour de révoquer l'autorisation accordée à la Russie
D'examiner son code source

Le , par Stéphane le calme

23PARTAGES

5  0 
Une des raisons pour lesquelles la Russie demande les examens de code source avant d'autoriser les ventes de logiciel aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.

Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent des entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.

C’est dans ce contexte par exemple que HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. Une décision qui lui a valu d’être sous le feu de la critique, surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée américaine afin de protéger leurs réseaux.

En juin dernier, Reuters a rapporté que McAfee était parmi les entreprises technologiques occidentales qui avaient accédé ces dernières années à la demande d’examen de code de Moscou.

Les examens, menés dans des installations sécurisées (appelées « salles blanches ») par des sociétés russes spécialisées dans les tests technologiques, sont requis par les agences de défense russes dans le but officiel de garantir l'absence de « portes dérobées » qui pourraient être dissimulées dans les logiciels développés à l'étranger.

Toutefois, des experts en sécurité ainsi que d’anciens fonctionnaires américains ont estimé que ces inspections fournissent à la Russie des opportunités de trouver des vulnérabilités qui pourraient être exploitées dans des cyberopérations offensives.

Aussi, après s’être séparé d’Intel en avril pour devenir une société indépendante, McAfee a décidé de mettre fin à ces examens, a déclaré un porte-parole de McAfee dans un courriel adressé à Reuters la semaine dernière.


La société a refusé de donner plus de détails, notamment sur la date précise où elle a cessé cette forme de collaboration. « Le nouveau McAfee a défini tous ses propres processus, reflétant des paysages commerciaux, compétitifs ou les menaces qui sont propres à notre espace », a déclaré la porte-parole. « Cette décision est le résultat de cet effort de transition. »

La décision de McAfee fait suite à une décision similaire de Symantec : plus tôt ce mois-ci, Greg Clark, qui est à la tête de l’entreprise, a confié que sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs. Reuters avait alors évoqué l’avis d’experts en sécurité qui voient en la décision de Symantec une mise en exergue de la tension croissante pour les entreprises technologiques américaines « qui doivent peser leur rôle de protecteurs de la cybersécurité américaine en poursuivant leurs affaires avec certains des adversaires de Washington, y compris la Russie et la Chine. »

Alors que Symantec permettait que son code soit analysé, Clark a dit qu'il voyait maintenant les menaces de sécurité comme étant trop grandes : « À l'heure de l'augmentation du piratage par des entités parrainées par des États, Symantec a conclu que le risque de perdre la confiance des clients en autorisant les analyses de son code ne valait pas l'affaire que l'entreprise pouvait gagner. »

Néanmoins, toutes les entreprises américaines ne sont pas en mesure de prendre cette voie. Reuters a rapporté ce mois-ci que Hewlett Packard Enterprise avait autorisé une société de tests Echelon à effectuer des examens du code source du logiciel de défense ArcSight, utilisé par le Pentagone pour protéger ses réseaux informatiques, pour le compte d'une agence de défense russe.

Cet arrangement a suscité des questions de la part des législateurs de Washington au sujet de l'utilisation de moyens numériques par la Russie pour semer la discorde et l'ingérence dans les élections aux États-Unis et dans d'autres pays occidentaux.

Dans une lettre adressée la semaine dernière au secrétaire à la Défense James Mattis, la sénatrice démocrate Jeanne Shaheen a demandé comment le Pentagone gère les risques en utilisant des logiciels qui ont été examinés par des gouvernements étrangers.

HPE a déclaré dans le passé que de tels examens ont eu lieu pendant des années dans un centre de recherche et de développement qu'il exploite en dehors de la Russie.

Source : Reuters

Voir aussi :

Symantec refuse d'autoriser la Russie à analyser son code source, l'entreprise estime que cela comporte des risques inacceptables

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 27/10/2017 à 22:13
sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs
Si la sécurité de ses utilisateurs est liée à la dissimulation des sources leur logiciel doit vraiment être une grosse bouse.
4  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 28/10/2017 à 2:34
Ce qu'ils ont à cacher aux Russes, c'est peut-être des trucs à la NSA ?
Bonjour la théorie du complot.
2  0 
Avatar de Namica
Membre expérimenté https://www.developpez.com
Le 29/10/2017 à 2:15
Citation Envoyé par cirle78 Voir le message
... Personnellement est ce que l'on peu faire confiance à un logiciel que tout le monde sait comment il fonctionne, ...
Humm...
Peut on faire confiance à un logiciel dont personne ne sait comme il fonctionne ?
Poser la question, n'est-ce pas y répondre ?
1  0 
Avatar de
https://www.developpez.com
Le 28/10/2017 à 7:55
Le code binaire des fichiers de l'application ne suffisent pas ou ils ne savent pas quoi chercher ?

[spoiler]
Ils ont créés (études/conception/développement) des choses qu'ils ne sont pas en mesure d'identifier pour miner des trucs qu'ils utilisent tous les jours...
Il serait temps de sortir du lit après ce beau rêve...
C'était bien la NSA.
[/spoiler]
0  0 
Avatar de cirle78
Membre régulier https://www.developpez.com
Le 28/10/2017 à 11:16
Je suis surpris que la RUSSIE veut connaitre les sources d'Antivirus avant de les mettre chez eux quand il existe des antivirus créés par des pays proches de chez eux auquels je pense qu'ils peuvent faire confiance :

AVG Technologies CZ, s.r.o.
Holandská 879/4
639 00 Brno
République Tchèque

Connaitre comment marche un Antivirus, c'est comment le contourner... Personnellement est ce que l'on peu faire confiance à un logiciel que tout le monde sait comment il fonctionne, sur tout pour un logiciel de sécurité :-(

Je connais AVG depuis plusieurs année et l'utilise surtout lorsque j'avais vu à l'époque un McAfee se fait mettre en carafe par un Virus... AVG n'était pas connu à l'époque donc moins d'attaque sur ce type de produit.
0  2 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web