En 2016 déjà, Symantec prenait la décision de ne plus permettre aux autorités d'encore accéder au code-source de ses logiciels de sécurité, mais cela n'a été rendu public qu'il y a quelques mois seulement. Ce choix fit notamment en sorte que l'entreprise a dû se retirer de Russie, parce que ce pays lui interdisait dans ce cas de vendre ses produits sur son territoire.

Dans un entretien accordé à l'agence de presse Reuters, le CEO de Symantec, Greg Clark, explicite pour la première fois le choix de son entreprise. Selon lui, l'accès au code-source était possible avant, mais le risque est à présent devenu trop important du fait que certains pays sont prêts à tout pour en pirater d'autres. En outre, cela nuit à la confiance que les clients accordent à Symantec. Clark évoque ici spécifiquement la Russie, tout en ajoutant que la Chine n'y aurait pas non plus accès, si elle le demandait.

L'accès au code-source, tant pour les produits de sécurité que pour les systèmes d'exploitation ou d'autres logiciels encore, est permis depuis assez longtemps déjà. Même en Belgique. Les pouvoirs publics ou les services de sécurité l'exigent parfois pour s'assurer que les systèmes qu'ils achètent, ne constituent pas un risque possible pour la sécurité. Dans ses déclarations, Clark apporte cependant la nuance, selon laquelle il n'a pas encore observé de cyber-attaques sur base de ce type d'accès.

'Nous pouvons dire non aux Etats-Unis'

Ce qui est assez étonnant, c'est que Clark déclare explicitement que ce sont les Etats-Unis qui en pâtissent moins. "Notre siège central se trouve dans un pays qui accepte que l'on dise 'non'", affirme-t-il à Reuters.

Si l'on ne met pas en doute ce dernier point, cela demande quand même quelque nuance du point de vue européen. Si les Etats-Unis ne demandent peut-être pas d'avoir accès au code-source, le pays entretient cependant depuis des années déjà des liens étroits avec les entreprises technologiques et ce, via la NSA notamment.

C'est ainsi qu'en 2014, il est apparu que la NSA possédait une ligne directe avec Google dans le cadre d'une collaboration. Cette même année, on apprenait que l'ambition de la NSA était de créer un superordinateur capable de pirater les cryptages des banques et des gouvernements. En 2016, Reuters elle-même signalait encore que Yahoo avait examiné des centaines de millions de comptes à la demande de la NSA. Et le piratage enregistré chez le producteur de cartes SIM Gemalto renvoyait également à la NSA et au GCHQ britannique. Même le FBI est autorisé (par les autorités américaines) depuis l'année dernière à procéder à du piratage tant au niveau national qu'international. Et c'est sans parler du piratage commis chez BICS, la filiale de Proximus, dont on soupçonne généralement qu'il est d'origine américaine.

Rarement public

Le problème que pose ce genre de violation du respect de la vie privée, c'est que cela reste généralement secret. C'est entre autres grâce aux révélations d'Edward Snowden qu'on a appris que quasiment toutes les grandes firmes technologiques américaines devaient collaborer (de manière contraignante) avec les services de sécurité des Etats-Unis. Dans de nombreux cas, c'est ce qu'on appelle la consigne du silence ('gag order') qui s'applique. Cela signifie que les entreprises en question ne peuvent informer le grand public ou les personnes ciblées de leur collaboration.

Autrement dit, Symantec peut dire 'non' aux autorités américaines. Mais le risque est grand que ces mêmes autorités obligent quand même Symantec à collabore, et que l'entreprise ne puisse légalement pas le faire savoir.