Le SANS Institute qui nous informe d’une recherche menée par le NIST. L’Institut National des Standard Technologiques procède à des recherches de vulnérabilités pour le compte du Pentagone aux Etats-Unis.
Dans ce qui semble être l’équivalent d’une offre de marchés publics en France, le Pentagon informe qu’il recherche un cocontractant qui procéderait des audits de sécurité sur la plateforme Android, sous contrôle du NIST.
Cette recherche s’est basée sur le nombre de vulnérabilités qui existent sur les applications Android – vulnérabilités dont il convient de souligner qu’elles sont aussi du fait de l’utilisateur.
Les différents outils qui lui seront soumis seront audités de façon minutieuse afin de vérifier s’ils répondent à certains impératifs de sécurité. En effet, les dites applications Android sont celles utilisées sur les smartphones et tablettes des militaires Américains basés en Irak ainsi qu’en Afghanistan.
L’idée est de fournir aux militaires un environnement sécurisé mais sur lequel l’utilisateur garde une certaine maîtrise, ce qui ne serait pas le cas avec du matériel Apple ou BlackBerry. Si la publication de cette recherche a été annoncée publiquement, les résultats de cet audit de sécurité ne seront pas dévoilés au grand public, pour des raisons de sécurité assez évidentes, de même que le choix du cocontractant. Par ailleurs, l’idée finale est d’arriver à concevoir une architecture Android sécurisée au maximum, construction qui est confiée à la DARPA. Cette agence est notamment à l’origine de la conception d’ARPANET. Autant dire que l’on revient aux origines.
La plateforme en elle-même serait similaire en tout point à une plateforme Android classique que l’on trouve sur les smartphones et les tablettes, à ceci près que les applications disponibles sur le Market auront été préalablement testés de façon très poussées, afin d’éviter, notamment les fuites de données personnelles. Les militaires auront donc accès à des applications musicales ou encore à des jeux.
Autre différence de taille : la collecte d’informations. En effet, les applications pourraient être utilisées pour récolter un certain nombre d’informations, notamment cartographiques, sur les déplacements au sol, les menaces de bombes, le déploiement des soldats. L’idée est de permettre aux décisionnaires d’avoir une vision en temps réel des conflits et des situations afin de pouvoir prendre les décisions les plus adaptées.
Si les résultats des recherches ne seront pas publiquement dévoilés, la méthode et les outils utilisés pour réaliser les différents tests de sécurité ne le seront pas non plus. Tout au plus sait-on que les outils ne sont pas disponibles dans le commerce, afin d’éviter que les informations récoltées ne viennent enrichir une base de données de vulnérabilités et en sus, permettre à des attaquants d’exploiter certaines failles des applications utilisées par les militaires, avant de déploiement et la mise en disponibilité de la plateforme conçue par la DARPA. L’offre de marché précise que les entreprises répondant à cette offre doivent avoir développé elles-mêmes les outils de pentesting.
De la même manière, si la DARPA arrive à mettre en place un environnement suffisamment sécurisé – du moins au regard des critères militaires – cela renforcera l’administration militaire dans sa conviction d’utiliser des outils open-source.
Ajouter un commentaire