Cybersécurité : la NSA met en Open Source un gestionnaire de conformité

Jacques Cheminat,

Si la NSA utilise des solutions Open Source pour ses programmes d’espionnage, elle reverse à la communauté certaines de ses recherches. C’est le cas avec SIMP, un gestionnaire de conformité pour les administrations et entreprises.

La NSA a mis à disposition un outil de cybersécurité à destination des ministères et du secteur privé. Cette plateforme nommée SIMP (Systems Integrity Management Platform) a été publiée sur GitHub. SIMP aide les administrations et les sociétés à maintenir les systèmes en réseau conformes aux normes de sécurité. Cet outil constitue un des éléments de l’approche « défense en profondeur » des politiques de sécurité.

Pourquoi cette publication en Open Source ? La NSA veut éviter les doublons, car certains ministères américains et d’autres sociétés ont essayé de reproduire cet outil à leur façon. Dans un communiqué, la NSA précise « qu’en publiant SIMP, l’agence cherche à réduire la duplication des efforts et vise à promouvoir une plus grande collaboration au sein de la communauté. Il n’est pas nécessaire de réinventer la roue au sein de chaque organisation ». L’agence américaine souligne que SIMP prend en charge uniquement RHEL (Red Hat Entreprise Linux) en versions 6.6 et 7.1, ainsi que la distribution CentOS en versions 6.6 et 7.1.

Une démarche de transfert de technologie

Cette publication en Open Source de l’outil SIMP s’inscrit dans une démarche que la NSA a récemment enclenchée avec son programme de « transfert de technologie ». Celui-ci prévoit le développement de nouvelles capacités au sein du gouvernement et du secteur privé. Il touche des produits dans 8 catégories couvrant notamment les réseaux, l’optique, le processing, la sécurité ou la microélectronique. Linda Burger, en charge de ce programme, précise que « l’orientation Open Source du transfert de technologies issues des laboratoires fédéraux vers le marché est extrêmement efficace ». Elle ajoute que « la communauté Open Source peut tirer profit du travail que la NSA produit et le gouvernement peut bénéficier de l’expertise et de la perspective de cette communauté. Un cadre gagnant-gagnant pour tout le monde et pour la Nation ».

Au-delà de SIMP, la NSA est aussi friande de solutions Open Source pour ses programmes d’espionnage, comme l’a démontré un récent article d’Intercept. En décortiquant des solutions comme XKeyscore, les journalistes ont découvert une forte appétence pour les composants Open Source comme Linux, Apache, MySQL, etc.

A lire aussi :

La NSA s’appuie sur l’Open Source pour espionner le monde entier

Le CAC 40 ciblé par la NSA : une évidence désormais connue de tous

Crédit Photo : Batofolux-Shutterstock