+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 019
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 019
    Points : 67 702
    Points
    67 702

    Par défaut Symantec refuse d'autoriser la Russie à analyser son code

    Symantec refuse d'autoriser la Russie à analyser son code,
    l'entreprise estime que cela comporte des risques inacceptables

    Une des raisons pour lesquelles la Russie demande les examens de code source avant d'autoriser les ventes de logiciel aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.

    Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent aux entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.

    C’est dans ce contexte par exemple que HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. Une décision qui lui a valu d’être sous le feu de la critique, surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée américaine afin de protéger leurs réseaux.

    Mais Greg Clark, qui est à la tête de Symantec USA, ne veut plus entrer dans la danse : dans une interview accordée à Reuters, il a confié que sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs.

    Reuters évoque l’avis d’experts en sécurité qui voient en la décision de Symantec une mise en exergue de la tension croissante pour les entreprises technologiques américaines « qui doivent peser leur rôle de protecteurs de la cybersécurité américaine en poursuivant leurs affaires avec certains des adversaires de Washington, y compris la Russie et la Chine. »

    Alors que Symantec permettait que son code soit analysé, Clark a dit qu'il voyait maintenant les menaces de sécurité comme étant trop grandes : « À l'heure de l'augmentation du piratage par des entités parrainées par des États, Symantec a conclu que le risque de perdre la confiance des clients en autorisant les analyses de son code ne valait pas l'affaire que l'entreprise pouvait gagner. »

    Le changement de la politique de l'entreprise, qui a été appliquée en début 2016, a été rapporté par Reuters en juin. Cependant, l'interview de Clark est la première explication détaillée qu'un dirigeant de Symantec a donnée au sujet de ce revirement.

    Durant cet entretien qui a duré environ une heure, Clark a déclaré que l'entreprise était toujours disposée à vendre ses produits dans n'importe quel pays. Cependant, il a précisé que « Ce n'est pas la même chose que de dire “D’accord, nous allons laisser les gens les ouvrir notre code, le parcourir et voir comment tout fonctionne". »

    Même si Symantec ne possède pas de preuve indiquant que ce processus d’analyse de code a déjà conduit à une cyberattaque, Clark pense que ce procédé en lui-même est inacceptable pour les clients de l’entreprise : « Ce sont des secrets, ou des choses (logiciels) qu’il est nécessaire de défendre », a-t-il déclaré en faisant allusion au code source. « Il vaut mieux le garder de cette façon. »

    Bien entendu, la décision de Symantec est plus facile à prendre que plusieurs autres entreprises dans la mesure où les parts de marché de l’entreprise étaient encore relativement faibles en Russie. Néanmoins, la décision de Symantec a été saluée par la communauté occidentale de cybersécurité. « Ils ont pris position et ils ont fait passer la sécurité avant les ventes », s’est réjoui Frank Cilluffo, directeur du Center for Cyber and Homeland Security au George Washington University et ancien haut responsable de la sécurité intérieure à l'ancien président George W. Bush.

    Source : Reuters

    Voir aussi :

    HPE a permis à des agents russes d'accéder au code source d'ArcSight, un logiciel de cyberdéfense utilisé par le Pentagone
    La Russie demande à examiner les codes sources des logiciels d'Apple et SAP, une mesure supplémentaire d'anti-espionnage
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Ingénieur développement
    Inscrit en
    décembre 2006
    Messages
    4 814
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 4 814
    Points : 18 561
    Points
    18 561
    Billets dans le blog
    17

    Par défaut

    Même si Symantec ne possède pas de preuve indiquant que ce processus d’analyse de code a déjà conduit à une cyberattaque, Clark pense que ce procédé en lui-même est inacceptable pour les clients de l’entreprise : « Ce sont des secrets, ou des choses (logiciels) qu’il est nécessaire de défendre », a-t-il déclaré en faisant allusion au code source. « Il vaut mieux le garder de cette façon. »
    Euh, comment font les logiciels antivirus opensource ?? (ClamAV, ClamTk,Armadito,A3..)

    De mémoire la sécurité par l'obscurité... n'est pas trop un argument recevable, même sur un site de Microsoft on peut lire le principe de Kerckhoffs
    La sécurité par l'obscurité est, pour rester simple, une violation du principe de Kerckhoffs, qui décrit un système comme étant sécurisé de par sa conception et non parce que sa conception est inconnue de l'adversaire. Le principe fondamental de Kerckhoffs est que les secrets ne restent pas secrets très longtemps.
    Source: https://technet.microsoft.com/fr-fr/...obscurity.aspx
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Étudiant
    Inscrit en
    décembre 2011
    Messages
    6 259
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 6 259
    Points : 16 230
    Points
    16 230

    Par défaut

    Bon, la raison officielle est la sécurité de leurs utilisateurs... mais quelle est la raison officieuse ?


    Ils ont peur de la contre-façon ? Ils veulent garder certains algorithmes secrets pour garder un avantage concurrentiel ? Ils ne veulent pas qu'on sache ce que contient exactement leur code, comme un petite backdoor, ou de la collecte de données personnelles ?
    On dit "chiffrer" pas "crypter" !

    On dit "bibliothèque" pas "librairie" !

    Ma page DVP : http://neckara.developpez.com/

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    octobre 2005
    Messages
    844
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : octobre 2005
    Messages : 844
    Points : 1 267
    Points
    1 267

    Par défaut

    Je pense que c'est surtout de la communication. Après les accusations d'espionnage contre Kaspersky, c'est le moment de gagner de nouveaux marchés.

  5. #5
    Membre actif Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mai 2017
    Messages
    74
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mai 2017
    Messages : 74
    Points : 273
    Points
    273

    Par défaut

    Citation Envoyé par Neckara Voir le message
    Bon, la raison officielle est la sécurité de leurs utilisateurs... mais quelle est la raison officieuse ?
    Quelques raisons officieuses:
    1) Leur modèle économique, basé sur des licences payantes, et aussi la privation de libertés pour leurs utilisateurs (pas le droit d'étudier le logiciel, de l'améliorer, de le copier, etc...).
    2) Peut-être aussi l'absence de qualité dans leur code. Quelqu'un qui n'applique pas de bonnes pratiques en programmation sera toujours réticent pour montrer son source.
    3) Peut-être aussi la présence de portes dérobées.
    4) La peur de voir une petite société russe forker leur code (s'il n'est pas trop mauvais) et commercialiser leur solution sous un autre nom.

    Mais la raison officielle, c'est juste une grosse blague.

Discussions similaires

  1. [Réseaux de neurones] Comment analyser son comportement ?
    Par Rhyos dans le forum Méthodes prédictives et apprentissage automatique
    Réponses: 1
    Dernier message: 02/08/2012, 21h40
  2. Réponses: 2
    Dernier message: 05/01/2012, 08h37
  3. [IB] Autoriser 1 user à changer son mot de passe
    Par qi130 dans le forum InterBase
    Réponses: 7
    Dernier message: 01/02/2005, 14h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo