La DARPA souhaite de la confiance !

Un des problèmes récurrents en sécurité est la confiance que l'on peut avoir dans les produits que l'on achète à des tiers. Un récent billet remettait cet enjeu en perspective. Ne pas disposer d'un code source ou ne pas connaître les rouages du fonctionnement d'un produit, c'est également assumer la possibilité que ce dernier puisse exécuter des actions non-souhaitées ou, plus simplement, ne pas faire ce qui est attendu dans des conditions de sécurité optimales.

Cette question est évidemment ardue car le temps nécessaire pour établir la confiance est justement long : c'est un exercice complexe requérant des capacités relativement peu répandues. C'est pourtant la question que se pose la DARPA, une des agences de recherche américaines notamment en matière de défense.

Particulièrement en pointe ces derniers temps, l'entité a donc lancé un nouveau programme dénommé Vetting Commodity IT Software and Firmware (VET) dont l'objectif est notamment de retrouver un niveau d'assurance suffisant pour les très nombreux objets à composante technologique utilisés au sein du gouvernement américain.

Car, en effet, le défi comporte une notion d'échelle : il est impossible d'analyser en détails l'ensemble des programmes, codes et fonctionnalités de cette quantité très importante de composants achetés par le ministère de la Défense américain et utilisés chaque jour.

La volonté de la DARPA est donc de pouvoir résoudre cette complexe équation qui est de retrouver la confiance technologique dans un contexte de ressources nécessairement limitées par rapport à l'ampleur de la tâche.

Pour cela, le programme VET se fixe trois objectifs prioritaires :

- Permettre à un analyse de définir relativement rapidement quelles seront les fonctionnalités à problèmes ou les potentielles menaces ;
- Démontrer que ces menaces potentielles ne sont pas matérialisées dans l'objet analysé ;
- Passer à l'échelle...

Ces fonctions nécessitent tout à la fois des outils adaptés et des organisations ou des processus capables de répondre de manière efficace et c'est tout l'enjeu.

Dans une perspective plus large, la démarche de la DARPA constitue une avancée qui, si elle est concrétisée, pourra être qualifiée de majeure. En effet, cette problématique de la confiance est centrale pour toutes les entités souhaitant atteindre un niveau de sécurité cohérent et les processus ad hoc ne sont pas nécessairement efficaces car ils prennent du temps.

Si le programme tient ses promesses et qu'il arrive à résoudre ce qui semble être un quadrature du cercle, il sera bon de s'en inspirer afin de pouvoir élever globalement le niveau de sécurité et retrouver une confiance perdue depuis bien longtemps !

Source :

http://www.informationweek.com/security/vulnerabilities/darpa-looks-for-backdoors-malware-in-tec/240143043

http://www.darpa.mil/NewsEvents/Releases/2012/11/30.aspx