Après Symantec, McAfee décide à son tour de révoquer l'autorisation accordée à la Russie
Après Symantec, McAfee décide à son tour de révoquer l'autorisation accordée à la Russie
d'examiner son code source
Une des raisons pour lesquelles la Russie demande les examens de code source avant d'autoriser les ventes de logiciel aux agences gouvernementales et aux entreprises publiques est de s'assurer que les services de renseignement étrangers et des États-Unis en particulier n'ont pas inséré des outils d'espionnage dans les logiciels.
Face au risque croissant d’attaques parrainées par des États, des pays comme la Russie et la Chine – qui ont eux-mêmes une réputation dans le domaine – sont en effet de plus en plus méfiants à l’égard des logiciels développés par des entreprises étrangères. Pour cela, ils exigent des entreprises technologiques étrangères de soumettre leurs codes source à des examens si elles veulent s’installer dans leur pays ou proposer leurs produits à une catégorie d’entreprises bien précise, en général, les entreprises d’État et du secteur public.
C’est dans ce contexte par exemple que HPE a donné accès au code source de son logiciel de cyberdéfense ArcSight à des agents russes dans le but d'obtenir la certification nécessaire pour vendre le logiciel au secteur public russe. Une décision qui lui a valu d’être sous le feu de la critique, surtout que le logiciel en question est utilisé par le Pentagone et plusieurs services de l’armée américaine afin de protéger leurs réseaux.
En juin dernier, Reuters a rapporté que McAfee était parmi les entreprises technologiques occidentales qui avaient accédé ces dernières années à la demande d’examen de code de Moscou.
Les examens, menés dans des installations sécurisées (appelées « salles blanches ») par des sociétés russes spécialisées dans les tests technologiques, sont requis par les agences de défense russes dans le but officiel de garantir l'absence de « portes dérobées » qui pourraient être dissimulées dans les logiciels développés à l'étranger.
Toutefois, des experts en sécurité ainsi que d’anciens fonctionnaires américains ont estimé que ces inspections fournissent à la Russie des opportunités de trouver des vulnérabilités qui pourraient être exploitées dans des cyberopérations offensives.
Aussi, après s’être séparé d’Intel en avril pour devenir une société indépendante, McAfee a décidé de mettre fin à ces examens, a déclaré un porte-parole de McAfee dans un courriel adressé à Reuters la semaine dernière.
La société a refusé de donner plus de détails, notamment sur la date précise où elle a cessé cette forme de collaboration. « Le nouveau McAfee a défini tous ses propres processus, reflétant des paysages commerciaux, compétitifs ou les menaces qui sont propres à notre espace », a déclaré la porte-parole. « Cette décision est le résultat de cet effort de transition. »
La décision de McAfee fait suite à une décision similaire de Symantec : plus tôt ce mois-ci, Greg Clark, qui est à la tête de l’entreprise, a confié que sa structure n’autorise plus les gouvernements à parcourir le code source de ses logiciels par crainte de voir ces accords compromettre la sécurité de ses utilisateurs. Reuters avait alors évoqué l’avis d’experts en sécurité qui voient en la décision de Symantec une mise en exergue de la tension croissante pour les entreprises technologiques américaines « qui doivent peser leur rôle de protecteurs de la cybersécurité américaine en poursuivant leurs affaires avec certains des adversaires de Washington, y compris la Russie et la Chine. »
Alors que Symantec permettait que son code soit analysé, Clark a dit qu'il voyait maintenant les menaces de sécurité comme étant trop grandes : « À l'heure de l'augmentation du piratage par des entités parrainées par des États, Symantec a conclu que le risque de perdre la confiance des clients en autorisant les analyses de son code ne valait pas l'affaire que l'entreprise pouvait gagner. »
Néanmoins, toutes les entreprises américaines ne sont pas en mesure de prendre cette voie. Reuters a rapporté ce mois-ci que Hewlett Packard Enterprise avait autorisé une société de tests Echelon à effectuer des examens du code source du logiciel de défense ArcSight, utilisé par le Pentagone pour protéger ses réseaux informatiques, pour le compte d'une agence de défense russe.
Cet arrangement a suscité des questions de la part des législateurs de Washington au sujet de l'utilisation de moyens numériques par la Russie pour semer la discorde et l'ingérence dans les élections aux États-Unis et dans d'autres pays occidentaux.
Dans une lettre adressée la semaine dernière au secrétaire à la Défense James Mattis, la sénatrice démocrate Jeanne Shaheen a demandé comment le Pentagone gère les risques en utilisant des logiciels qui ont été examinés par des gouvernements étrangers.
HPE a déclaré dans le passé que de tels examens ont eu lieu pendant des années dans un centre de recherche et de développement qu'il exploite en dehors de la Russie.
Source : Reuters
Voir aussi :
Symantec refuse d'autoriser la Russie à analyser son code source, l'entreprise estime que cela comporte des risques inacceptables
Répondre avec citation
leur logiciel doit vraiment être une grosse bouse.
Envoyé par cirle78
Partager