Sécurité

HP Enterprise a partagé le code source de cyberdéfense du Pentagone avec la Russie

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

HP Enterprise a partagé au moins une partie du code source utilisé dans les systèmes de défense de cybersécurité du Pentagone avec les agences de défense russes, Reuters rapports, dans le but de gagner leur affaire. Le système en question, ArcSight, est conçu pour analyser les menaces de cybersécurité, les classer par gravité, diffuser et enregistrer des données réseau en temps réel, fournir une surveillance de bout en bout du réseau et de la sécurité et simplifier le processus d’audit.

Les dossiers réglementaires russes et un porte-parole d’ArcSight ont confirmé que les Russes avaient eu accès au code source de l’entreprise, selon le rapport, bien qu’ils n’aient pas précisé quelle partie du code source avait été révélée, ni dans quelles conditions les Russes étaient autorisés à l’analyser.

« C’est une énorme vulnérabilité de sécurité », a déclaré Greg Martin, ancien architecte de sécurité pour ArcSight, à Reuters. « Vous donnez définitivement un accès intérieur et des exploits potentiels à un adversaire. »

L’examen a été mené par Echelon, une société russe étroitement liée à l’armée russe. Le président d’Echelon, Alexey Markov, a confirmé qu’il est tenu de signaler au gouvernement russe toute porte dérobée ou vulnérabilité de sécurité qu’il trouve, bien que Markov ait également déclaré qu’il informerait d’abord le développeur du logiciel et recevrait l’autorisation de divulguer la vulnérabilité en question.

les pirates

Image de Reuters

Ce dernier semble peu probable à première vue. Même si nous supposons que Markov est tenu d’informer HPE (ou tout client potentiel) de tout bogue de sécurité rencontré, la phrase ci-dessus n’a pas de sens. Soit Markov est tenu d’informer le gouvernement russe de tout défaut qu’il trouve, que l’entreprise soit d’accord ou non, soit Echelon n’est pas tenu de divulguer les bogues potentiels au gouvernement russe. D’une façon ou d’une autre, quelqu’un a un droit de veto sur la façon dont ces informations sont divulguées et à qui.

HP a déclaré qu’aucune vulnérabilité de porte dérobée n’avait été découverte par les Russes et qu’il permettait aux entreprises russes d’avoir ce niveau d’accès pour vérifier qu’il n’y avait pas d’outils de renseignement intégrés dans le produit final.

HPE Entreprise HPE

La collision désordonnée entre le commerce et la sécurité

L’équilibre entre le besoin de sécurité et les exigences pratiques du commerce crée une ligne de fracture majeure entre les intérêts de sécurité nationale des États-Unis, les intérêts de sécurité de la Russie et les entreprises qui voudraient vendre des solutions aux deux. Le gouvernement américain n’adopterait jamais un logiciel de cybersécurité critique s’il pensait que le logiciel contenait une porte dérobée ou une autre faille pouvant être exploitée par un adversaire potentiel.

Les Russes ressentent la même chose, bien sûr. Huawei, un grand fournisseur chinois, a fait l’objet d’un examen minutieux et de suspicion aux États-Unis et dans le monde entier. L’argument typique a été que Huawei pourrait inclure des portes dérobées qui donneraient au gouvernement chinois un accès aux informations. Huawei nie toutes ces allégations, bien qu’une enquête de 2012 ait révélé des vulnérabilités critiques dans deux de ses routeurs.

Mais si la décision de HPE de partager le code source est normale, elle n’est pas sans risque. Les audits de sécurité sont difficiles et prennent du temps, l’audit complet d’un programme peut prendre des mois, voire des années, et il y a toujours la possibilité que quelque chose que vos homologues trouvent ne le fera pas vous être rapporté. Nous n’avons même pas besoin d’invoquer la Russie pour en voir des exemples : dans les années 1970, la NSA a trouvé des failles dans l’algorithme Data Encryption Standard et a suggéré des changements qui le durcissaient contre des types d’attaques spécifiques. Des décennies plus tard, la NSA a promu un algorithme de courbe elliptique spécifique dont elle savait qu’il était cassé et a payé RSA Security 10 millions de dollars pour faire de son propre Dual_EC_DRBG le cryptage par défaut dans la bibliothèque cryptographique RSA BSafe.

En d’autres termes, dans les années 1970, la NSA s’est efforcée de créer et de distribuer une norme cryptographique plus sûre. Au début des années 2000, ils travaillaient activement à la distribution d’une norme cryptographique qu’ils savaient déjà pouvoir casser. En d’autres termes, les agences de renseignement ont toutes les raisons de garder pour elles les vulnérabilités et les points faibles, et rares sont ceux qui diraient qu’un accord d’entreprise devrait l’emporter sur la sécurité nationale, quel que soit votre camp.

Maintenant lis: 20 meilleurs conseils de confidentialité

Bouton retour en haut de la page