Tierney - stock.adobe.com
Protection du poste de travail : premières ripostes à la plainte de NSS Labs
CrowdStrike et l’AMTSO ont formulé les premières réponses à l’attaque lancée par le laboratoire indépendant. Eset et Symantec restent, pour l’heure, silencieux.
Il n’aura pas fallu attendre bien longtemps. Sans surprise, CrowdStrike et l’organe de standardisation des tests de systèmes de protection du poste de travail, l’AMTSO, ont riposté aux accusations portées par NSS Labs. Dans une déclaration, le premier assène : « NSS est une organisation de test à but lucratif, avec laquelle il faut payer pour jouer, qui obtient les produits par des moyens frauduleux et défend son modèle économique contre des tests ouverts et transparents. Nous pensons que leur plainte est sans fondement ».
NSS Labs a annoncé, la semaine dernière, le dépôt d’une plainte antitrust visant CrowdStrike, Eset et Symantec. Il les accuse de chercher ensemble à prévenir les tests indépendants de leurs produits de protection des points de terminaison.
Un conflit larvé de longue date
Dans une déclaration adressée à nos confrères de SearchSecurity, NSS Labs indique viser ces trois éditeurs et l’AMTSO « parce que [ce sont] ceux qui mènent le complot. Il y a d’autres conspirateurs non-cités et leur implication sera déterminée au cours de l’enquête liée à cette plainte ».
NSS Labs et CrowdStrike se sont ouvertement opposés par le passé. Début 2017, l’éditeur a ainsi engagé une procédure en justice contre le laboratoire, l’accusant d’avoir « accédé de manière illégale à [son logiciel], contrevenu à [son] contrat [de licence], piraté [son] logiciel » et conduit des tests de sécurité « inappropriés ».
Dans un billet de blog, CrowdStrike assurait alors s’élever contre la méthodologie de NSS Labs, la qualifiant « d’erronée ». Il dénonçait également que soit intégré au rapport son produit Falcon « sur la base d’une analyse incomplète », jugeait la démarche « contraire aux standards de base de l’industrie pour le test ». En outre, l’éditeur envisageait initialement un test privé et s’était opposé à un test public. De son côté, NSS Labs estimait ne pas avoir pu procéder au test de certains vecteurs d’attaque « parce que CrowdStrike a désactivé à distance le produit en cours de test ».
Un entente cachée ?
La justice américaine a décidé de ne pas suivre les arguments de CrowdStrike. NSS Labs a finalement publié les résultats de ses tests à l’occasion de l’ouverture de l’édition 2017 de la conférence RSA.
Mais dans sa plainte, le laboratoire affirme que l’affaire n’en est pas restée là. Selon lui, Dimitri Alperovitch, directeur technique de CrowdStrike, aurait organisé, lors de la conférence, une réunion entre éditeurs « avec l’intention, le but et l’effet d’obtenir un accord entre concurrents pour refuser de faire affaire avec certaines entreprises, dont précisément NSS Labs, qui essaient de conduire des tests publics de leurs produits en utilisant des méthodologies différentes de celles acceptées » au sein de l’AMTSO.
NSS Labs se fait en outre l’écho de pressions qu’auraient reçu un autre laboratoire de test – non nommé dans la plainte – et interprète les réponses reçues comme une « tentative d’intimidation des [laboratoires de test] qui n’accepteraient pas de suivre le standard de l’AMTSO après son adoption ».
Un avantage délibéré des fournisseurs ?
Même s’il est membre de l’organisation, NSS Labs s’oppose au standard de test établi au printemps. Selon lui, il donne aux éditeurs un avantage inéquitable : « savoir à l’avance comment son produit sera testé fait perdre tout intérêt au test indépendant ». Et de comparer cela à des étudiants qui connaîtraient à l’avance les questions qui leur seraient posées lors d’un examen : « obtenir une telle connaissance s’appelle généralement tricher ».
Dennis Batchelder, président de l’AMTSO, conteste, dans un billet de blog, les arguments de NSS Labs et déplore sa démarche : « nous avons été déçus que l’un de nos membres ait choisi d’engager une procédure antitrust contre nous et d’autres membres de l’AMTSO. Nous avons été encore plus surpris de leurs allégations selon lesquelles notre organisation serait uniquement pilotée par les fournisseurs, ce qui n’est tout simplement pas vrai ».
Selon Dennis Batchelder, « notre standard, ainsi que nos recommandations et nos principes de test fondamentaux, ont été développés tant par les fournisseurs que par les testeurs, travaillant conjointement pour s’assurer que notre industrie puisse fournir aux clients la meilleure information possible ».
Avec nos confrères de SearchSecurity.com (groupe TechTarget)