elvis_dead - Fotolia
Examen de code source par les autorités russes : des airs de faux procès
De nombreux éditeurs ont, au moins par le passé, autorisé l'examen du code source de leurs produits afin d'accéder à certains marchés en Russie. Une source de vulnérabilité ? Pas tant que cela, soulignent certains.
Nos confrères de Reuters tentent de relancer le débat autour de l’examen du code source de logiciels par les autorités russes. Au mois d’octobre dernier, ils relevaient que McAfee allait refuser de satisfaire de telles demandes de gouvernements en dehors des Etats-Unis. Il faisait ainsi écho à Symantec qui indiquait en juin d’avoir déjà fait avec la Russie.
D’autres éditeurs et constructeurs se soumettent – ou se sont soumis – à de telles demandes, dont Cisco, IBM, SAP ou encore HPE par le passé, avant la cession de son système de gestion des informations et des événements de sécurité (SIEM) ArcSight à Micro Focus. Ce dernier a récemment indiqué de son côté qu’il ne permettrait plus l’examen du code source de ses produits par les gouvernements « de pays à haut risque ». ArcSight est utilisé au Pentagone et dans au moins sept agences gouvernementales américaines, relèvent nos confrères.
Dans une réponse à la sénatrice Jeanne Shaheen, publiée par Reuters, le ministère américain de la Défense estime que l’examen du code source peut constituer un risque : il « peut aider [certains] pays à découvrir des vulnérabilités dans les produits étudiés ». Steve Quane, vice-président exécutif de Trend Micro en charge des produits de sécurité réseau, abonde, pour nos confrères, dans ce sens, estimant qu’accepter un tel examen est « incroyablement dangereux ». Et de souligner qu’il s’y est refusé pour les produits TippingPoint.
Mais le débat ne manque pas d’avoir des airs de faux procès. Dans un billet de blog, Bruce Schneier soulevait la force, là, du logiciel libre : « si tout le monde a accès au code source, et que la sécurité ne dépend pas de son caractère secret, alors il n’y a aucun avantage à retirer de l’obtention d’une copie ». Dès lors, pour lui, « tant que les entreprises s’appuient sur l’opacité pour leur sécurité », les attaques par la chaîne logistique « sont possibles et rentables ».
Comme Microsoft il y a quelques années, sur fond d’inquiétudes liées aux pratiques de l’agence du renseignement américain, la NSA, lors de l’affaire Snowden, Kaspersky vient d’ailleurs de faire le choix de la transparence.
Surtout, pour Gary McGraw, vice-président de Synopsys, « le mythe selon lequel fournir le code source est potentiellement plus dangereux [que laisser analyser le binaire] n’est qu’un… mythe ». Il explique « l’avantage de l’analyse du code source est que l’on sait quoi corriger et comment ». Mais « trouver des problèmes logiciels et les exploiter peut être fait sur le seul binaire ».
Steven Bellovin renchérit : « la rétro-ingénierie des binaires, en particulier de ceux qui ne sont pas sérieusement masqués, n’est pas si difficile pour quelqu’un disposait des bons outils. Et les outils modernes sont plutôt bons ». Peter Zatko, ancien du Darpa, souligne en outre que les « compilateurs modernes procèdent à beaucoup d’optimisations » et que les binaires résultants « peuvent avoir des composants attaquables impossibles à découvrir à partir du code source ».
Selon Gary McGraw, ces considérations échappent à beaucoup de personnes non spécialistes de la sécurité logicielle… dont « les gens du réseau, par exemple ». Steve Quane appréciera.