La NSA a publié voilà peu un kit d’outils conçu pour améliorer la sécurité des systèmes d’informations. Proposé sous licence Apache et pour les distributions Linux, le kit pose surtout la question de la confiance que les développeurs et administrateurs peuvent réellement faire à une telle solution.
La situation ne manque pas de piquant et la NSA choisit un timing assez particulier pour proposer ses outils, réunis sous l’appellation « Systems Integrity Management Platform », ou SIMP. Pour beaucoup, le nom-même de la NSA évoque la surveillance, l’espionnage et les portes dérobées. De nombreuses informations ont été dévoilées à travers les documents dérobés par Edward Snowden sur les deux dernières années, notamment sur la manière dont l’agence américaine cultivait presque les failles de sécurité 0-day, c’est-à-dire exploitables sans qu’aucun correctif ne soit disponible (l’éditeur concerné n’est peut-être même au courant).
La NSA débarque sur Github
La National Security Agency a été souvent pointée du doigt depuis pour cette activité parallèle, mais elle est loin d’être la seule à œuvrer de cette manière. On se souvient que l’US Navy avait publié directement une annonce (consultable publiquement) afin de récolter elle aussi ce type de faille, pour ses propres besoins. L’annonce avait été rapidement supprimée une fois sa présence révélée, mais elle avait montré combien cette thématique était sensible et dangereuse.
De fait, quand la NSA publie sur Github des outils destinés à renforcer la sécurité des systèmes d’exploitation, la question se pose de savoir si on peut leur faire confiance. Mais qu’est-ce que SIMP ? Une collection d’outils et de scripts, basés sur Ruby et Puppet pour l'essentiel, afin d’automatiser une partie de la gestion de la sécurité. Les systèmes pris en charge sont essentiellement les moutures 6.6 et 7.1 de Red Hat Enterprise Linux (RHEL) et de CentOS.
Le code est publié sur Github et est sous licence Apache, ce qui signifie que la NSA laisse les développeurs faire à peu près n’importe quoi de ce code. Globalement, l’agence de sécurité se sert d’ailleurs d’outils assez connus pour la gestion de son projet, notamment les Google Groups, HipChat (l’un des grands concurrents de Slack) ou encore JIRA (gestionnaire de bugs et de tickets de maintenance).
Des outils destinés aux gouvernements, mais avec quelle confiance ?
Si la plateforme a pour objectif de renforcer avant tout la sécurité, l’agence indique que SIMP tâche de faire le juste milieu entre sécurité et « flexibilité opérationnelle » et s’adresse avant toute chose aux gouvernements : « SIMP garde les systèmes reliés en réseaux conformes avec les standards de sécurité définis ». La NSA souhaite par ailleurs freiner la duplication des nombreux projets du même acabit, soulignant que d’autres gouvernements se sont lancés dans des travaux similaires. En partageant le code de SIMP, l’agence espère qu’un plus grand nombre de personnes se concentrera sur un même lot d’outils, et pourquoi pas que les gouvernements se tournent vers une solution qui deviendrait alors la référence.
Comme on s’en doute, la question de la confiance est primordiale. La NSA ne peut pas espérer que sa trousse à outils sera utilisée sans le moindre questionnement. Certains s’amuseront sans doute à utiliser la solution telle quelle, mais la méfiance est grande désormais pour tout ce qui a trait aux activités du renseignement américain (mais le problème serait sans doute le même avec les équivalents d’autres pays). On imagine mal un gouvernement considérer sérieusement la solution SIMP sans lancer au minimum un vaste audit sur les moindres recoins de son code, car le fait de l’assortir d’une licence Apache est loin d’être suffisant.
Notez que ce partage du code de SIMP fait partie d’une initiative plus grande. Il s’agit du Technology Transfer Program, dont la finalité est de transférer justement des technologies vers l’industrie, le monde de l’enseignement ou même d’autres agences fédérales, par le biais du monde de l’open source. Un échange bénéfique selon la NSA, puisque « la communauté open source peut tirer profit du travail effectué », en échange de quoi l’agence « peut bénéficier de l'expertise et de la perspective de cette communauté ».
