Selon la loi russe, les entreprises occidentales sont obligées de se conformer à la demande du FSB et de fournir le code source de leurs programmes propriétaires pour examen avant d'être autorisées à pénétrer le marché russe - les autorités veulent s'assurer qu'il n'y a pas de portes dérobées intégrées dans les programmes. Toutes les entreprises se conforment à cette exigence. Microsoft affiche le code source de Windows, tandis que Cisco, IBM, SAP et d'autres sociétés partagent avec la Fédération de Russie le code source de leurs pare-feu, antivirus et programmes avec modules cryptographiques. Mais récemment, les entreprises ont une telle pratique préoccupante, car en même temps, les agences de renseignement russes sont capables de trouver des vulnérabilités dans les programmes propriétaires des entreprises occidentales,
écrit Reuters. Ces vulnérabilités peuvent ensuite être utilisées lors de cyberattaques et pour l'espionnage.
Par souci de sécurité de ses produits, une entreprise - Symantec - a cessé de coopérer avec les auditeurs russes.
Les responsables américains disent avoir mis en garde les entreprises commerciales contre les risques liés au transfert de codes sources aux autorités russes. Mais le gouvernement américain n'a pas le pouvoir d'interdire cette pratique, s'il ne s'agit pas d'une sorte de développement militaire, mais d'un logiciel purement civil.
À leur tour, les entreprises elles-mêmes disent qu'elles n'ont pas d'autre choix. S'ils ne fournissent pas le code source, ils ne seront pas autorisés à entrer sur le marché. L'audit se déroule dans un environnement sûr, dans des salles spécialement équipées pour éviter les fuites de code source.
Outre Cisco, IBM et SAP, il est connu que les produits Hewlett Packard Enterprise Co et McAfee ont subi un audit de code source. Ces dernières années, le nombre de demandes d'audit du code source des produits Microsoft a fortement augmenté.
En général, la Russie a été la première au monde à recevoir le code source de Windows. Cela s'est produit
en 2002 . Microsoft n'a accepté de montrer la source qu'à la condition qu'elle
soit considérée comme un secret d'État de la Fédération de Russie . La collaboration s'est poursuivie au cours des années suivantes. Par exemple, à l'été 2010, Microsoft a fourni au FSB le code source de Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 et Exchange Server 2010 «pour accroître la confiance du gouvernement dans les produits Microsoft».
Un examen direct du code source est effectué, notamment par le Service fédéral de contrôle technique et d'exportation (
FSTEC de Russie ). Les dossiers du FSTEC indiquent que de 1996 à 2013, il a procédé à un examen du code source de 13 produits technologiques des entreprises occidentales, et de 2014 à 2016 le nombre d'expertises a fortement augmenté et s'élève à 28. Dans un commentaire à Reuters, les représentants du FSTEC ont déclaré qu'un tel audit du code source correspond au monde. Dans la pratique, le FSB a refusé de commenter.
Quelques autres entreprises accréditées par le FSB sont impliquées dans des audits de code source. En règle générale, ils ont tous des liens avec les structures militaires. Par exemple, la société Echelon a reçu le prix "Secrets d'État" du ministère de la Défense.
Immeuble de bureaux Echelon à MoscouMalgré toutes les craintes, les experts interrogés par Reuters n'ont pas pu citer un seul cas spécifique de piratage, cyberattaque ou cyberespionnage, qui aurait été réalisé du fait que les services secrets russes avaient accès aux codes sources de l'un ou l'autre produit propriétaire. Jusqu'à présent, ces craintes sont spéculatives.
En fait, l'audit du code source des produits propriétaires n'est pas une pratique unique pour la Russie. Même le gouvernement américain, dans certains cas, exige le code source d'un programme fermé, en particulier lorsqu'il s'agit d'une ordonnance de défense ou d'un autre contrat important. La Chine exige également parfois la fourniture de codes sources comme condition à l'importation de logiciels commerciaux.
En 2014, Microsoft a ouvert le Transparency Center à Redmond, puis le même à Bruxelles. Les responsables gouvernementaux peuvent visiter cet endroit, consulter le code source du système d'exploitation Windows et d'autres programmes - et s'assurer qu'ils n'ont pas de portes dérobées et de signets d'espionnage.
Le directeur de la société Echelon, Alexei Markov, a déclaré que le code est audité dans une sorte de "salles blanches" - laboratoires spéciaux à partir desquels le code source ne peut pas être transmis. Fait intéressant, toutes les procédures d'audit n'ont pas lieu à Moscou. Par exemple, des experts russes ont réalisé le code source des produits SAP dans un laboratoire SAP sécurisé en Allemagne.
Mais pour Symantec, ces conditions n'étaient pas suffisantes s'il ne faisait pas confiance à l'expertise.
"Cela représente un risque pour l'intégrité de nos produits que nous ne voulons pas accepter", a déclaré la porte-parole de l'entreprise, Kristen Batch. Après avoir refusé de montrer la source, Symantec ne pourra plus vendre certains produits d'entreprise en Russie.