Martin - Fotolia
Code : McAfee et Symantec refusent de passer l’examen
Quitte à échouer à obtenir leur permis d’accès à certains marchés, les deux éditeurs ne souhaitent plus laisser certains gouvernements étudier le code source de produits.
Transparence ou opacité ? Selon nos confrères de Reuters, McAfee vient d’annoncer qu’il refusera désormais les demandes de gouvernements étrangers d’étude du code source de ses produits. Il fait ainsi écho à Symantec qui a indiqué en juin l’avoir déjà fait avec la Russie, quitte à renoncer à vendre ses produits aux agences gouvernementales du pays. D’autres éditeurs et constructeurs se soumettent à ces demandes, dont Cisco, IBM, SAP ou encore HPE par le passé, avant la cession de son système de gestion des informations et des événements de sécurité (SIEM) ArcSight à Micro Focus. Ce dernier a récemment indiqué de son côté qu’il ne permettrait plus l’examen du code source de ses produits par les gouvernements « de pays à haut risque ».
L’ensemble survient sur fond de tensions profondes entre Russie et Etat-Unis, une tourmente dans laquelle s’est largement retrouvé pris Kaspersky. Mais ce dernier a fait le choix de la transparence, comme d’autres avant lui sur fond d’inquiétudes liées aux pratiques de l’agence du renseignement américain, la NSA, lors de l’affaire Snowden.
Dans un billet de blog, Bruce Schneier soulevait d’ailleurs la force, là, du logiciel libre : « si tout le monde a accès au code source, et que la sécurité ne dépend pas de son caractère secret, alors il n’y a aucun avantage à retirer de l’obtention d’une copie ». Dès lors, pour lui, « tant que les entreprises s’appuient sur l’opacité pour leur sécurité », les attaques par la chaîne logistique « sont possibles et rentables ».
La question ne manque toutefois pas de faire débat, Rebecca Herold, Pdg de Privacy Professor, estime ainsi que « Symantec est sage de dire non aux inspections de code, compte tenu de la manière dont le gouvernement russe a démontré comment il contrôle pour l’essentiel tous les segments des secteurs d’activité du pays d’une manière ou d’une autre ».
Pour autant, à qui peut-il être en définitive le plus tentant de faire confiance ? Un fournisseur qui joue l’opacité sous fond de craintes pour sa propriété intellectuelle ou pour la sécurité de produits dans lesquels pourraient être découvertes des vulnérabilités ? Ou celui qui accepte la transparence, probablement moins par naïveté que par confiance dans ses produits et ses processus ?