Ces derniers mois, plusieurs affaires de compromissions de périphériques informatiques avant leur mise sur le marché ont été publiquement décortiquées, par la presse spécialisée certes, mais plus nouveau, par la presse classique et aussi la classe politique.

Cette dernière news sur la découverte de PC infectés par le virus « Nitol » par Microsoft, avant même leur sortie d’usine a en effet de quoi inquiéter.

Si on la recoupe avec l’affaire de la backdoor dans les smartphones ZTE il y a quelques mois, on comprend peut-être un peu mieux la méfiance clairement exposée du rapport Bockel envers la production Chinoise de matériels informatiques … juste un peu (voir à ce sujet l’article de Stéphane Bortzmeyer).

Le problème pour l’utilisateur, c’est que les virus[1] ainsi installés peuvent être des virus pre-boot, donc difficiles à détecter (Nitol est un virus dont l’objectif principal est le vol de données notamment des données bancaires. Pas grand-chose à voir avec de la Lutte Informatique Offensive finalement).

En complément, il paraît complètement improbable qu’un PC ou autre Smartphone à peine sorti de l’emballage  soit déjà compromis, ce qui permet aux attaquants de bénéficier d’un certain niveau de confiance par les consommateurs.

Toutefois, ce phénomène n’est pas nouveau et pour nous rafraîchir la mémoire, je vous invite à relire les documents associés à l’affaire NSA et Lotus Notes, datant de 1997, ou encore celle de la NSA Key sur Windows NT en 1999.

L’objectif ici n’est pas de débattre sur le fait qu’une cyberguerre puisse actuellement se dérouler  et qu’il faille se méfier de tous les produits fabriqués dans des usines en dehors de l’Hexagone.

Toutefois, il est nécessaire que les utilisateurs et les décideurs soient sensibilisés à ces risques et notamment au fait qu’une compromission peut intervenir sur la totalité du cycle de vie d’un logiciel ou d’un matériel.

Avoir une confiance aveugle dans un éditeur reste en soit une vulnérabilité et il est important de bien intégrer ce fait dans les processus de sécurité internes.