D’où vient votre logiciel ?

C’est l’une des questions que se posent les utilisateurs en ligne sur DemandezWoody.com ont demandé ces dernières semaines. De toute évidence, cela survient alors que le monde voit ce qui se passe en Ukraine. Pendant de nombreuses années, un fournisseur de logiciels de sécurité en particulier a été identifié comme ayant peut-être des liens avec la Russie – et pour autant de retour en 2017le gouvernement américain a interdit l’utilisation de l’antivirus Kaspersky par crainte que le logiciel de sécurité puisse espionner les sous-traitants de la défense pour la Russie.

L’inquiétude suscitée par les logiciels étrangers n’est pas nouvelle. En 2018, le Pentagone a mis sur pied un «n’achète pas” liste des éditeurs de logiciels que toute personne travaillant avec des sous-traitants de la défense devrait éviter. Plus précisément, les responsables de la défense voulaient s’assurer qu’aucun logiciel d’origine chinoise ou russe ne serait acheté. Souvent, pour vendre un logiciel dans un pays donné, les fournisseurs doivent fournir le code source ou des informations supplémentaires. Mais il est souvent difficile de savoir exactement où le logiciel est codé, étant donné la nature mondiale de la technologie. Exemple concret : j’ai utilisé une fois dans mon réseau de bureau un logiciel vendu par Microsoft mais partiellement codé en Shangai. C’est suffisant pour vous faire penser au code potentiel écrit dans des endroits avec lesquels votre pays n’a peut-être pas la plus grande relation.

La plus évidente qui me vient à l’esprit est la société russe Kaspersky, qui a reçu de nombreuses plaintes concernant son manque de réponse à la crise ukrainienne. Pendant de nombreuses années, les liens de l’entreprise avec le gouvernement russe ont été une préoccupation. Je me suis même interrogé sur d’autres logiciels que j’ai achetés au fil des ans.

Par exemple, il existe des programmes de craquage de mots de passe créés par des développeurs (ou même des entreprises entières) situés en Russie. Pendant de nombreuses années, j’ai utilisé des logiciels d’Elcomsoft pour divers outils afin de pénétrer dans divers logiciels pour des raisons légitimes. Dans mon cabinet, nous examinons différents types de fichiers sans avoir accès aux mots de passe nécessaires pour les ouvrir. Plutôt que de jouer à des jeux avec des avocats, nous avons trouvé plus facile d’utiliser simplement divers outils pour casser les mots de passe. Alors que certains, tels que les documents Word, peuvent prendre beaucoup de temps à craquer – et vous pourriez avoir besoin d’un équipement spécialisé pour accélérer le processus – les logiciels d’entreprise de base comme QuickBooks sont relativement faciles à pénétrer. Que ce soit une leçon : ne considérez jamais vos fichiers QuickBooks comme protégés si vous les perdez, car ils sont protégés par un mot de passe. Les outils en ligne peuvent supprimer le mot de passe et demander d’en créer un nouveau ; cela me donne toujours un accès complet à un fichier que vous pensiez être protégé. Pour moi, ces outils de craquage de mot de passe sont pour les affaires, pas pour le piratage. Mais le fait que bon nombre de ces outils proviennent d’entreprises liées à la Russie me fait réfléchir. Même si l’entreprise semble avoir déménagé en République tchèque, cela me laisse encore perplexe.

D’autres entreprises se demandent si elles doivent fournir des services aux entreprises russes. L’antivirus Avast, par exemple, a ouvertement a déclaré qu’il n’offrirait plus de produits aux clients russes. Microsoft a déclaré qu’il ne vendrait pas de nouveaux services aux clients en Russie, en s’arrêtant avant de déclarer qu’il coupera les services à toute personne ayant des contrats existants. Microsoft n’a pas encore pris la décision drastique de supprimer les mises à jour Windows ou d’interrompre le support et la maintenance des systèmes d’exploitation existants.

Microsoft a souvent ouvert son code source de joyau de la couronne aux agences gouvernementales pour obtenir l’approbation de divers gouvernements. Au fil des ans, il y a eu plusieurs fois les pirates ont pu accéder au code source de Microsoft pour étudier le fonctionnement de Windows à un niveau plus profond. Ainsi, même notre système d’exploitation Windows de base a été examiné de près par des ingénieurs logiciels russes au fil des ans, même si le logiciel sous-jacent n’y a pas été écrit.

Que devez-vous faire si vous êtes préoccupé par un fournisseur de logiciels ? Tout d’abord, faites preuve de diligence raisonnable et recherchez où se trouvent vos fournisseurs et leurs employés. De toute évidence, c’est une décision personnelle de soutenir ou de sanctionner un fournisseur en fonction de ses actions ou de ses relations avec le gouvernement. Utilisez votre argent pour trouver des fournisseurs de technologie qui agissent de manière éthique et responsable.

Deuxièmement, désinstallez les logiciels potentiellement problématiques de votre système et assurez-vous qu’il ne reste aucune trace. Souvent, les fournisseurs sont un peu désordonnés lorsqu’ils installent des logiciels et ne nettoient pas après eux-mêmes. J’ai souvent dû compter sur Programme de désinstallation de Revo pour nettoyer après un vendeur désordonné. C’est une bonne idée de garder cet outil à l’esprit lors de la désinstallation du logiciel. Souvent, les clés de registre et les fichiers sont laissés pour compte, tout comme les vulnérabilités qui ne seront pas corrigées. Bien que vous n’ayez pas besoin de prendre l’étape drastique de réinstaller votre système d’exploitation, il est relativement facile de reconstruire un ordinateur à partir de zéro avec Windows 10. Si votre ordinateur provient d’un fournisseur majeur, vous pouvez facilement télécharger tous les pilotes nécessaires une fois que vous reconstruisez le système.

Même le matériel doit être examiné ; vous constaterez peut-être qu’un ordinateur portable ou un appareil spécifique est fabriqué dans un pays avec lequel vous n’êtes pas à l’aise de faire des affaires. (J’utilise un ordinateur portable Lenovo même s’il y a eu préoccupations de certains qu’il pourrait être une source de cyber-risque ; Lenovo a acheté les activités PC et serveurs d’IBM en 2005 et 2014, respectivement.)

En résumé : recherchez où votre logiciel est codé et où votre matériel est construit. Ce n’est pas toujours facile. Les fournisseurs peuvent cacher où se trouvent leurs bureaux et peuvent utiliser une main-d’œuvre répartie dans le monde entier. Vous devrez peut-être demander sur les forums de support où se trouve réellement un fournisseur. De nos jours, les logiciels peuvent, et sont généralement, codés n’importe où. Vous pourriez être surpris que votre outil préféré ne soit pas développé là où vous le pensiez.