Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

La NSA publie des outils de sécurité sous licence Apache

Ne jamais douter
Internet 3 min
La NSA publie des outils de sécurité sous licence Apache
Crédits : Vertigo3d/iStock

La NSA a publié voilà peu un kit d’outils conçu pour améliorer la sécurité des systèmes d’informations. Proposé sous licence Apache et pour les distributions Linux, le kit pose surtout la question de la confiance que les développeurs et administrateurs peuvent réellement faire à une telle solution.

La situation ne manque pas de piquant et la NSA choisit un timing assez particulier pour proposer ses outils, réunis sous l’appellation « Systems Integrity Management Platform », ou SIMP. Pour beaucoup, le nom-même de la NSA évoque la surveillance, l’espionnage et les portes dérobées. De nombreuses informations ont été dévoilées à travers les documents dérobés par Edward Snowden sur les deux dernières années, notamment sur la manière dont l’agence américaine cultivait presque les failles de sécurité 0-day, c’est-à-dire exploitables sans qu’aucun correctif ne soit disponible (l’éditeur concerné n’est peut-être même au courant).

La NSA débarque sur Github

La National Security Agency a été souvent pointée du doigt depuis pour cette activité parallèle, mais elle est loin d’être la seule à œuvrer de cette manière. On se souvient que l’US Navy avait publié directement une annonce (consultable publiquement) afin de récolter elle aussi ce type de faille, pour ses propres besoins. L’annonce avait été rapidement supprimée une fois sa présence révélée, mais elle avait montré combien cette thématique était sensible et dangereuse.

De fait, quand la NSA publie sur Github des outils destinés à renforcer la sécurité des systèmes d’exploitation, la question se pose de savoir si on peut leur faire confiance. Mais qu’est-ce que SIMP ? Une collection d’outils et de scripts, basés sur Ruby et Puppet pour l'essentiel, afin d’automatiser une partie de la gestion de la sécurité. Les systèmes pris en charge sont essentiellement les moutures 6.6 et 7.1 de Red Hat Enterprise Linux (RHEL) et de CentOS.

Le code est publié sur Github et est sous licence Apache, ce qui signifie que la NSA laisse les développeurs faire à peu près n’importe quoi de ce code. Globalement, l’agence de sécurité se sert d’ailleurs d’outils assez connus pour la gestion de son projet, notamment les Google Groups, HipChat (l’un des grands concurrents de Slack) ou encore JIRA (gestionnaire de bugs et de tickets de maintenance).

simp core github nsa

Des outils destinés aux gouvernements, mais avec quelle confiance ?

Si la plateforme a pour objectif de renforcer avant tout la sécurité, l’agence indique que SIMP tâche de faire le juste milieu entre sécurité et « flexibilité opérationnelle » et s’adresse avant toute chose aux gouvernements : « SIMP garde les systèmes reliés en réseaux conformes avec les standards de sécurité définis ». La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires. En partageant le code de SIMP, l’agence espère qu’un plus grand nombre de personnes se concentrera sur un même lot d’outils, et pourquoi pas que les gouvernements se tournent vers une solution qui deviendrait alors la référence.

Comme on s’en doute, la question de la confiance est primordiale. La NSA ne peut pas espérer que sa trousse à outils sera utilisée sans le moindre questionnement. Certains s’amuseront sans doute à utiliser la solution telle quelle, mais la méfiance est grande désormais pour tout ce qui a trait aux activités du renseignement américain (mais le problème serait sans doute le même avec les équivalents d’autres pays). On imagine mal un gouvernement considérer sérieusement la solution SIMP sans lancer au minimum un vaste audit sur les moindres recoins de son code, car le fait de l’assortir d’une licence Apache est loin d’être suffisant.

Notez que ce partage du code de SIMP fait partie d’une initiative plus grande. Il s’agit du Technology Transfer Program, dont la finalité est de transférer justement des technologies vers l’industrie, le monde de l’enseignement ou même d’autres agences fédérales, par le biais du monde de l’open source. Un échange bénéfique selon la NSA, puisque « la communauté open source peut tirer profit du travail effectué », en échange de quoi l’agence « peut bénéficier de l'expertise et de la perspective de cette communauté ».

75 commentaires
Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 21/07/15 à 07:19:13

Pas mal celle-là ; ils sont couillus les mecs quand même, respect :transpi:

Avatar de Meallia INpactien
Avatar de MealliaMeallia- 21/07/15 à 07:22:53

La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires

Bah oui, faudrait surtout pas qu'ils utilisent un outils que la NSA ne maitrise pas.

Avatar de edrin17 Abonné
Avatar de edrin17edrin17- 21/07/15 à 07:28:52

Ils ont surtout un coup d'avance.
Donc s'ils proposent leurs outils c'est qu'ils ont beaucoup mieux à la maison. Ils ne sont pas idiots et ce genre d'initiative peut très bien permettre de recruter de nouveaux talents ou des gars motivés où même des idées fraîches...
 
Je les trouve drôlement bons en plus d'être couillus :)

Avatar de Dez INpactien
Avatar de DezDez- 21/07/15 à 07:28:59

Moui, après en mettant de côté la partie ironique de la chose, faudrait pas non plus leur tirer à boulet rouge dessus dès qu'ils font une initiative qui part dans le bon sens.
 
Et je suis à peu près persuadé que le code en question est clean. Déjà car un nombre assez important de gens pas mal suspicieux vont décortiquer ce code dans tous les sens juste pour essayer d'être les premiers à leur mettre le nez dedans au cas où il y a effectivement quelque chose. 
Et que ça serait complètement contre productif pour eux de se saborder à la première initiative du genre. Non si ils doivent jouer au fourbe ça sera de manière nettement plus subtile, je pense.
 
@edrin17 : oui & non ; c'est sûr qu'ils vont pas filer les clés de leur SI, mais je ne vois pas pourquoi ils n'auraient pas des outils internes d'admin basés sur puppet... Et ils ont effectivement tout à y gagner sur ce genre d'outil de le rendre open source.
Si android est un projet Open Source, c'est pas juste car Google est un grand gentil, pour faire une comparaison :D

Édité par Dez le 21/07/2015 à 07:31
Avatar de Haemy INpactien
Avatar de HaemyHaemy- 21/07/15 à 07:31:43

Génial un backdoor public

Avatar de marba Abonné
Avatar de marbamarba- 21/07/15 à 07:33:27

:transpi: Ah mince, moi qui croyais qu'ils allaient publier Xkeyscore

Avatar de philanthropos INpactien
Avatar de philanthroposphilanthropos- 21/07/15 à 07:34:35

Haemy a écrit :

Génial un backdoor public

Génial, un troll au cinquième commentaire, on s’améliore.

Avatar de jelora119 INpactien
Avatar de jelora119jelora119- 21/07/15 à 07:35:49

Il s'agit d'une news troll ou c'est vraiment sérieux ? Pas très rassurant tout ça ... :(

Avatar de Haemy INpactien
Avatar de HaemyHaemy- 21/07/15 à 07:36:01

philanthropos a écrit :

Génial, un troll au cinquième commentaire, on s’améliore.

tu a déjà oublier comment fonctionne la nsa ? c'est triste.

Avatar de canti INpactien
Avatar de canticanti- 21/07/15 à 07:37:04

Un avis sur cette news, Amiral Ackbar? 

Il n'est plus possible de commenter cette actualité.
Page 1 / 8