Secu
La « Blacklist » du Pentagone contre les logiciels chinois et russe
Par Laurent Delattre, publié le 31 juillet 2018
Le Pentagone a établi une liste noire de logiciels que les fournisseurs des agences américaines et autres entreprises stratégiques américaines ne doivent plus acquérir ou utiliser. Même certaines entreprises américaines sont dans le collimateur…
Le département américain de la défense a confirmé fin juillet 2018 diffuser, auprès des agences gouvernementales mais également auprès de l’ensemble de leurs fournisseurs, une liste « Do Not Buy », interdisant l’utilisation de logiciels Chinois et Russes. On savait que des entreprises de sécurité comme Kaspersky avaient été bannies des institutions américaines mais la liste établie par le Pentagone ne se limite pas aux seuls logiciels de sécurité et s’étend à toutes les applications PC/Mac et mobiles. Établir une telle liste est plus complexe qu’en apparence en raison des holdings qui détiennent certains éditeurs (rappelons que le Chinois Broadcom vient de racheter CA par exemple).
Évidemment, certains verront en ces pratiques des mesures de bon sens, là où d’autres n’y verront qu’une forme déguisée de protectionnisme américain. Mais là où les choses se compliquent, c’est que certaines entreprises américaines pourraient finalement être les premières victimes directes de cette décision. Car la liste ne se limite pas aux seuls éditeurs d’origine chinoise ou russe. En juin 2017, Reuters révélait que sous la pression du FSB (Federal Security Service, ex KGB) et du FSTEC (Federal Service for Technical and Export Control) de grandes entreprises américaines avaient donné un accès aux codes sources de leurs logiciels afin que leurs produits puissent être commercialisés en Russie. Parmi les sociétés visées, Reuters citait notamment IBM, Cisco, HPE, McAfee et SAP. De son côté Symantec annonçait avoir interrompu toute collaboration avec les agences russes.
Or le Pentagone soupçonne les agences russes d’utiliser les connaissances acquises à la lecture de ces codes sources pour élaborer des exploits et autres attaques contre ces logiciels afin d’infiltrer les entreprises américaines et les agences gouvernementales US. Les logiciels ayant ainsi été « scrutés » par les agences russes et chinoises pourraient également se retrouver ajoutés dans cette fameuse liste « Do Not Buy ».