La NSA libère SIMP : un outil de sécurité open source
Pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces »
Le 2015-07-11 14:02:28, par Michael Guilloux, Chroniqueur Actualités
La National Security Agency (NSA) vient de publier un outil open source visant à sécuriser les réseaux des organisations. L’outil baptisé Systems Integrity Management Platform (SIMP) est, d’après l’agence d’espionnage des États-Unis, conçu pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».
L’outil est disponible dans le référentiel GitHub de la NSA, qui a été lancé ce printemps. D’après la description sur le site de partage de code source, SIMP est une technologie qui « vise à fournir une combinaison raisonnable de respect de la sécurité et de flexibilité opérationnelle. » La NSA considère l’outil comme un élément essentiel dans les approches de « défense en profondeur » de la cyber-sécurité, et estime qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux États-Unis.
À travers son outil, l’agence de sécurité veut aider les organisations gouvernementales et l’industrie dans leurs efforts pour mettre en place des technologies qui répondent aux exigences du département de sécurité US. SIMP leur permettra donc de ne pas réinventer la roue, affirme la NSA.
La libération de l’outil vient dans le cadre du Technology Transfer Program de la NSA. Le programme vise un transfert de technologie en prenant les codes développés par l’agence et en les rendant accessibles à la communauté du logiciel. « La communauté open source peut tirer profit du travail que la NSA a produit », et en retour, « le gouvernement peut bénéficier de l'expertise et de la perspective de cette communauté », explique Linda Burger, directrice du Programme.
Il est évident que même si l’agence de sécurité nationale des États-Unis semble être bien intentionnée sur ce coup, sa réputation en matière d’espionnage fera beaucoup de sceptiques quant à la sureté de son outil de sécurité des réseaux. Par contre, en le rendant open source, l’agence appelle la communauté des développeurs à contribuer. De manière implicite, c’est également un appel aux chercheurs en sécurité qui pourront analyser le code source en vue de détecter d’éventuelles failles qui pourraient exposer les organisations à des risques de sécurité.
Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.
Sources : Communiqué de presse de la NSA, GitHub
Et vous ?
Qu’en pensez-vous ? L’outil de sécurité de la NSA pourra-t-il convaincre les organisations ?
L’outil est disponible dans le référentiel GitHub de la NSA, qui a été lancé ce printemps. D’après la description sur le site de partage de code source, SIMP est une technologie qui « vise à fournir une combinaison raisonnable de respect de la sécurité et de flexibilité opérationnelle. » La NSA considère l’outil comme un élément essentiel dans les approches de « défense en profondeur » de la cyber-sécurité, et estime qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux États-Unis.
À travers son outil, l’agence de sécurité veut aider les organisations gouvernementales et l’industrie dans leurs efforts pour mettre en place des technologies qui répondent aux exigences du département de sécurité US. SIMP leur permettra donc de ne pas réinventer la roue, affirme la NSA.
La libération de l’outil vient dans le cadre du Technology Transfer Program de la NSA. Le programme vise un transfert de technologie en prenant les codes développés par l’agence et en les rendant accessibles à la communauté du logiciel. « La communauté open source peut tirer profit du travail que la NSA a produit », et en retour, « le gouvernement peut bénéficier de l'expertise et de la perspective de cette communauté », explique Linda Burger, directrice du Programme.
Il est évident que même si l’agence de sécurité nationale des États-Unis semble être bien intentionnée sur ce coup, sa réputation en matière d’espionnage fera beaucoup de sceptiques quant à la sureté de son outil de sécurité des réseaux. Par contre, en le rendant open source, l’agence appelle la communauté des développeurs à contribuer. De manière implicite, c’est également un appel aux chercheurs en sécurité qui pourront analyser le code source en vue de détecter d’éventuelles failles qui pourraient exposer les organisations à des risques de sécurité.
Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.
Sources : Communiqué de presse de la NSA, GitHub
Et vous ?
-
eric.cMembre actifQuand je fais changer mes serrures, je m'adresse toujours à un gang de cambrioleurs
Comme ça, ils ont leur double de clefs et ils ne cassent rien et ça évite qu'ils se fatiguent, leur boulot est déjà si péniblele 13/07/2015 à 11:54 -
RyzenOCInactifSans vouloir faire l'avocat du diable, c'est pas la première fois que la NSA développe des (bon) logiciels de sécurité, il y'en a même un d'intégrer au noyaux Linux, elle a contribuer a SELinux (Security-Enhanced Linux), une fonctionnalité permettant d’améliorer la sécurité de linux. Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet.
Le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.
Techniquement, si c'est open source, on peut vérifier code.
La NSA fait partie des plus gros contributeurs a des projets open source, et ce depuis sa création.le 11/07/2015 à 16:10 -
BeanuxMembre éclairéJ'ai essayé d'aller voir els sources, et euh, c'ets le bordel. Le lien d ela news nous renvoie sur github, sous le compte "NationalSecurityAgency", qui ne contient que le projet "SIMP", qui lui, ne contient aucun code, mais qui nous renvoie sur simp.
Donc je suppose que c'est simp-core parmi les 5 pages de projets existants, qui est lui aussi vide, mais qui contient des instruction d'installation. De plus les projets adjacents, sont sans instructions aucune (pour ceux que j’ai pu consulter).
Ils ont donc bien sorti quelque chose, mais quel fouillis.le 11/07/2015 à 17:10 -
Matthieu VergneExpert éminentMais justement, il n'est plus question de confiance envers la NSA ici, mais de compétence. Le code est là, il s'agit de l'analyser pour voir ce qu'il permet et ne permet pas. Et de là en tirer les conclusions "là il est possible de le cracker en faisant ceci ou cela". On se fiche pas mal de savoir si "ceci" ou "cela" est effectivement fait. L'important est de savoir où sont les faiblesses potentielles, et de là savoir ce qu'on risque. Après, si on estime que la NSA (ou un autre) a de bonnes chances de pouvoir faire "cela", alors on n'utilisera pas ce code, point final. Il n'y a pas de question de confiance à la NSA là dedans. La seule confiance, c'est pour ceux qui décide de ne pas analyser le code. Ceux-là font confiance à la communauté d'experts qui, on l'espère, l'analysera en profondeur.
C'est comme juger un livre à son auteur plutôt qu'à son contenu. Ça a autant de subjectivité que de juger le livre à sa couverture.le 20/07/2015 à 15:23 -
SaverokExpert éminentComme très bien dit par redcurve et par sazearte, entre autre, la NSA est un contributeur du libre depuis plusieurs années et cela fait parti de sa feuille de route depuis la création de l'agence.
Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.
Le gros des scandales médiatiques sur la NSA sont passés et l'opinion publique est déjà sur autre chose.
Personnellement, je pense que la NSA n'en n'a que faire de se "racheter une image" d'autant plus que cette agence a les politiques dans sa poche...le 13/07/2015 à 10:09 -
BufferBobExpert éminentben ouai, mais dans la continuité de la métaphore, si tu t'aperçois que ton fabricant de coffres s'amuse à visiter les maisons de ta rue à l'insu de leurs propriétaires, quand il te propose un coffre si joli soit-il, ça semble normal sinon d'avoir une défiance paranoïaque au moins de s'interroger, non pas sur les motivations mais bien sur la confiance qu'on peut avoir dans le fabricant, et par corolaire dans ledit coffrele 13/07/2015 à 11:57
-
Pierre GIRARDExpert éminentTu as peut-être raison, et venant de n'importe qui d'autre que la NSA on pourrait avoir confiance et suivre ton raisonnement à 100% ... mais bon, il y a l'historique de la NSA.
Si le même logiciel avait été produit par DAECH (même en OpenSource), tiendrais-tu le même langage rassurant et lénifiant ???le 20/07/2015 à 16:02 -
BufferBobExpert éminentdisposer du code source ne veut pas dire qu'on a les compétences pour faire un audit sécurité dessus et encore moins pour identifier des backdoors éventuelles, c'est même étrange qu'il faille relever ça tant on pourrait penser que le seul bon sens suffit à le comprendre quelque part...
juste pour illustrer rapidement, on dispose du code source du noyau Linux, pourtant -et parmis les milliers de lignes de code qu'on devrait lire en cherchant- qui cause suffisamment bien C et à l'oeil suffisamment vif pour diagnostiquer que ce truc est une backdoor ? :
Code : 1
2if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) retval = -EINVAL;
alors pareil, je dis pas que NSA a backdooré son outil, mais je ne leur fait pas confiance, et si je ne suis pas le seul et qu'ils ont un déficit dans l'opinion publique aujourd'hui ils l'ont bien cherché et c'est à mon sens le seul et unique pouvoir réel qu'on ait sur eux, la seule façon concrète qu'on a de dire "on est pas d'accord, vous nous gonflez"
à l'inverse dire "ne vous plaignez pas ou allez auditer le code" comment dire... ça ressemble à un traquenard pour neuneu, "c'est simple, il suffit de faire ça" sauf qu'en pratique personne n'est vraiment à même de pouvoir appliquer le principe, on pourrait croire à une astuce politique et c'est probablement le genre d'argument qui aurait pu être prononcé tel quel par le département d'état américain en faitle 20/07/2015 à 19:03 -
sevyc64ModérateurTOR est un projet totalement Open source et ouvert, initié au départ et actuellement financé à hauteur de 60% par le gouvernement américain.
Tails est une distribution Linux qui se veut sécurisée sous forme de live CD qui d’appui énormément sur le réseau TOR.
Donc oui, TOR, à l'image de SIMP est open source. Le code est disponible et analysable, etc ....
Oui TOR, à l'image de SIMP, reçoit une forte contribution de groupes liés au gouvernement américain.
Oui pour TOR comme pour SIMP, si l'on ne veut pas accorder notre confiance à ces groupes et que l'on voit la conspiration dans tout ce qu'ils touchent, oui, il faut se méfier de TOR tout autant que de SIMP
2nd point : En quoi la NSA aurait à rassurer l’Europe. La NSA est un service gouvernemental américain au service de l'Etat américain avec pour mission d'en assurer la sécurité. La NSA se contre-fiche de l'Europe, elle ne bosse que pour le citoyen américain.
Et tout ce qui n'est pas américain peut-être potentiellement un jour ennemie de l'Amérique, Europe y compris.le 20/07/2015 à 20:25 -
VinorcolaMembre régulierBen voyons !le 11/07/2015 à 15:16