Microsoft ouvrira des « Centres de Transparence »
Pour permettre aux États d'examiner son code source
Le 2014-02-03 15:49:40, par Francis Walter, Expert éminent sénior
Microsoft a annoncé lors de la 50ème Conférence de Munich sur la Sécurité, qu’il a pour ambition de construire des « Transparency Centers » dans le monde. La firme voudrait que les clients des gouvernements puissent s’assurer que les codes sources de leurs produits ne renferment pas de backdoors.
Cette initiative viendrait renforcer les trois grandes mesures qui sont en train d’être prises par Microsoft pour lutter contre l’espionnage des gouvernements : « l’expansion du cryptage » dans leurs services, « le renforcement des protections juridiques pour les données » des clients et l’amélioration du code source des logiciels.
Un premier centre pourrait voir le jour d’ici la fin de l’année à Bruxelles. Ce premier centre « offrira aux clients du gouvernement une capacité accrue de revoir notre code source » peut-on lire dans le billet de blog posté par Matt Tomlinson, Vice-président en charge de la Sécurité chez Microsoft. Les clients pourront donc « réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors », ajoute-t-il.
Rappelons qu’à la fin d’année dernière, suite aux nombres révélations à propos de l’espionnage de la NSA, la firme de Redmond avait opté pour le chiffrement complet de ses services Cloud pour protéger les données de ses utilisateurs. Dans le billet de blog, Matt Tomlinson a encore rassuré les utilisateurs que son équipe travaille d’arrache-pied pour chiffrer les données des utilisateurs. Cependant, il stipule que les gouvernements et le secteur privé doivent coopérer afin de passer de cette crise de confiance à une nouvelle ère de confiance dans le cyberespace. Pour ce faire, il a convoqué un groupe composé de 20 gouvernements et 20 entreprises mondiales des TIC « G20 + 20 » pour élaborer « un ensemble de principes pour un comportement acceptable dans le cyberespace ». Matt Tomlinson est déterminé pour un dialogue entre les gouvernements et les entreprises privées pour mettre fin à cette crise de cybersécurité, car « la vie privée ne peut exister sans la sécurité, et la sécurité dépend de la vie privée ».
Aucun détail n’a été donné sur la construction du centre de transparence de Bruxelles et sur les stratégies qui seront mises en place pour que les clients puissent faire leur part du travail dans la vérification du code source.
Source : Blog Technet
Et vous ?
Cette initiative viendrait renforcer les trois grandes mesures qui sont en train d’être prises par Microsoft pour lutter contre l’espionnage des gouvernements : « l’expansion du cryptage » dans leurs services, « le renforcement des protections juridiques pour les données » des clients et l’amélioration du code source des logiciels.
Un premier centre pourrait voir le jour d’ici la fin de l’année à Bruxelles. Ce premier centre « offrira aux clients du gouvernement une capacité accrue de revoir notre code source » peut-on lire dans le billet de blog posté par Matt Tomlinson, Vice-président en charge de la Sécurité chez Microsoft. Les clients pourront donc « réviser notre code source, s'assurer de son intégrité et confirmer qu'il n'y a pas de backdoors », ajoute-t-il.
Rappelons qu’à la fin d’année dernière, suite aux nombres révélations à propos de l’espionnage de la NSA, la firme de Redmond avait opté pour le chiffrement complet de ses services Cloud pour protéger les données de ses utilisateurs. Dans le billet de blog, Matt Tomlinson a encore rassuré les utilisateurs que son équipe travaille d’arrache-pied pour chiffrer les données des utilisateurs. Cependant, il stipule que les gouvernements et le secteur privé doivent coopérer afin de passer de cette crise de confiance à une nouvelle ère de confiance dans le cyberespace. Pour ce faire, il a convoqué un groupe composé de 20 gouvernements et 20 entreprises mondiales des TIC « G20 + 20 » pour élaborer « un ensemble de principes pour un comportement acceptable dans le cyberespace ». Matt Tomlinson est déterminé pour un dialogue entre les gouvernements et les entreprises privées pour mettre fin à cette crise de cybersécurité, car « la vie privée ne peut exister sans la sécurité, et la sécurité dépend de la vie privée ».
Aucun détail n’a été donné sur la construction du centre de transparence de Bruxelles et sur les stratégies qui seront mises en place pour que les clients puissent faire leur part du travail dans la vérification du code source.
Source : Blog Technet
Et vous ?
-
LutarezMembre chevronnéle 03/02/2014 à 17:14
-
redcurveMembre extrêmement actifIls ne peuvent rien forcer, sachant que les sources sont disponibles à des équipes de dev qui ne sont même pas aux USA (france, uk, chine etc.).
Les documents de la nsa précises qu'elle ne se fait pas chier à mettre des backdoor dans les softs puisque ça n'a aucun intérêt, ils interceptent carrément les livraisons d'ordinateur et là ils ajoutent leur spyware et pas avant. Ils font pareil pour les téléphones & co.
En bref l'utilisation de malware n'est que pour les cibles spécifique. Pour le reste ils écoutent carrément le réseau, c'est plus simple et moins couteux.le 03/02/2014 à 17:44 -
temoanatiniMembre avertij'en pense que rien ne garantira que les sources disponibles seront bien ceux qui seront utilisés pour builder les versions de Windows...
On est bien "obligé" de les croire pour le coup...le 03/02/2014 à 16:59 -
redcurveMembre extrêmement actifOui j'ai mes sources chez eux. Concrètement le code est vérifié par chaque dev (qui ne check pas son propre code, sachant qu'ils sont généralement en binôme), puis par le ou les architectes, entre temps il passe tout une batterie de tests automatique (sécurité, charge, qualité, etc.).
L'ensemble des développeurs reçoit le feedback des revus de code. Si l'architecte disons t'adresse un message concernant ta revue du code tout les autres dev l'ont aussi.
ça c'est juste à redmond, je ne parle pas des équipes ailleurs dans le monde.le 03/02/2014 à 17:37 -
En gros il faudrait commencer par réinstaller l'OS quand on achète une machine neuve ?le 03/02/2014 à 17:51
-
JaroddMembre expérimentéDonc au lieu de croire Microsoft, il faudra croire les gouvernements ?le 03/02/2014 à 19:38
-
laerneMembre éprouvéIls ont pas peur qu'un type s'amuse a chopper le code sur une clef usb et le publier sur la toile ?le 04/02/2014 à 4:45
-
yannicktMembre régulier1) Comme dit au-dessus, rien ne dit que le code montré est bien celui compilé. Sans accès à la chaine de compilation complète et la possibilité de comparer les résultats, ça ne sers à rien.
2) Qui a dit que les backdoors était du code spécifique et clair ? Ça peut très bien une faille de sécurité involontaire (ou cachée, cf au-dessus) et particulièrement complexe à trouver.le 04/02/2014 à 13:59 -
LSMetagExpert confirméBon au moins je serai un chouilla plus rassuré sur l'intégrité du code de Windows. Après tout, la NSA ne pourra pas gueuler (même s'ils le feront quand même) puisque Microsoft se confortera aux lois internationales. Ils ont juste pas intérêt à installer un centre en Chine (rois de l'espionnage industriel)
Evidemment, ça ne m'empêchera pas de blinder mon système de protections et de ne pas utiliser le cloud, mais niveau moral je serai un peu plus satisfait.le 04/02/2014 à 14:03 -
matpushMembre avertiDonc au lieu de croire Microsoft, il faudra croire les gouvernements ?le 04/02/2014 à 15:24