X

Du code russe dans les produits d’une filiale de Safran

Morpho, alors filiale de Safran, a vendu au FBI un logiciel de reconnaissance d’empreintes contenant du code provenant d’un éditeur russe, Papillon. La question ne porte pas tant sur l’origine du code ou sur sa sécurité que sur le secret qui entourait cet accord de licence.

Une ancienne filiale de Safran, Sagem Sécurité (avant d'être renommée Morpho), a utilisé sous licence une technologie développée par une entreprise russe, Papillon, assurent deux lanceurs d’alerte. Le code écrit par cet éditeur, réputé proche du Kremlin, aurait été intégré à un logiciel de reconnaissance d’empreintes digitales, lequel est utilisé par le FBI et par 18 000 agences américaines, croit savoir Buzzfeed.

En soi, la présence de code d’un tiers dans une solution n’est pas un problème, le FBI assurant par ailleurs à notre confrère américain que « à l’instar de tout logiciel commercial que nous exploitons, les examens de sécurité appropriés ont été effectués avant le déploiement opérationnel ». Mais dans le cas présent la filiale de Safran aurait délibérément dissimulé à l’agence fédérale « l’achat de code russe dans un accord secret ».

Secret bien gardé

Buzzfeed a pu examiner un exemplaire dudit contrat, en date de juillet 2008, un an avant que Sagem Sécurité remporte l’appel d’offres du FBI. Il y est prévu que l’entreprise ait licence d’intégrer le code de Papillon dans ses logiciels et de vendre le produit fini en tant que technologie propre. Papillon devait fournir des mises à jour pendant cinq ans et raflait 3,8 millions d’euros, plus les frais annuels.

Papillon assure dans ce contrat que sa technologie ne contient aucune porte dérobée ou code permettant un accès non-autorisé. Tout irait donc pour le mieux, si ce n’était le secret qui entourait cet accord. Le contrat stipulait en effet que « les parties s'engagent à rester strictement confidentielles et à ne pas divulguer par quelque moyen que ce soit à un tiers l'existence et le contenu de ce Contrat ».

Deux lanceurs d’alerte, Philippe Desbois, ex-responsable des opérations de Morpho en Russie, et Georges Hala, ex-chargé du business development dans ce même pays, signalent « l’omerta » qui régnait dans la filiale de Safran autour de ce contrat. Le premier explique à Buzzfeed qu’à plusieurs reprises des dirigeants de l’entreprise ont insisté sur le fait que l'existence de l'accord reste « un secret bien gardé ». « Ils m'ont dit que nous aurons de gros problèmes si le FBI était au courant de l'origine de l'algorithme » se rappelle-t-il.

Un peu de FSB au FBI

En cause, la proximité de Papillon avec les autorités russes. La société ne s’en cache pas et en fait un argument marketing, soulignant l’étroite collaboration avec les ministères russes de l’Intérieur, de la Défense et de la Justice. Selon Georges Hala, « Papillon est une émanation du ministère des Affaires intérieures, donc Papillon était toujours sous le contrôle du ministère ». Rien d’étonnant à ce que Morpho cherche à tout prix à garder l’information secrète : la seule existence de ce contrat aurait pu amener les autorités américaines à chercher un autre prestataire.

Les deux lanceurs d’alerte expliquent ne pas avoir participé à l’accord entre Sagem Sécurité et Papillon ni à l’intégration du code du second aux solutions du premier. Ils ont découvert l’existence de cet accord de licence suite aux instructions de leur direction de ne pas concurrencer Papillon sur certains contrats. Les deux anciens salariés de Morpho indiquent que leurs responsables leur ont expliqué que les deux entreprises avaient un accord tacite pour ne pas empiéter sur les activités de l'autre dans certains.

Philippe Desbois a porté l’affaire devant les tribunaux américains, accusant Safran d’avoir amassé frauduleusement un milliard de dollars auprès d’agences américaines et de pratiques anticoncurrentielles. Il a été débouté en première instance, mais le juge ne s’est prononcé que sur la forme : le magistrat considérait que les accusations n’étaient pas assez spécifiques. Le dossier doit encore être examiné en appel, peut-être sur le fond cette fois-ci.

Une question de confiance

Safran a refusé de commenter, mais n’a pas nié dans des documents juridiques l’existence de ce contrat entre son ancienne filiale et Papillon. En 2017, le groupe français a vendu Morpho à un fond américain, qui l’a renommée Idemia. Une porte-parole de la nouvelle entité a souligné à Buzzfeed que les produits de Morpho ont été développés en France ou aux Etats-Unis mais que deux logiciels contenaient du code source développé « par d'autres sociétés ».

De son côté, Papillon ne nie ni ne confirme l’information, mais insiste sur le fait que son code n’ouvre aucune porte dérobée. Mais le problème est ailleurs et ce n’est pas Kaspersky qui dira le contraire. Trois anciens employés de la branche américaine de Morpho ont déclaré à notre confrère ne pas être au courant de l’intégration du code de Papillon au logiciel vendu au FBI. « Personnellement cela m'aurait un peu inquiété […] cela aurait soulevé des problèmes de confiance fondamentaux » raconte l’un d’entre eux. 


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité, Débats

Actuellement à la Une...
A VOTRE AVIS...
GitLab

GitLab

Solution libre de « forge » pour le dépôt de code basé, tout comme GitHub, sur le gestionnaire de versions Git, GitLab continue son ascension. Il offre une solution intégrant parfaitement...

20 TECHNOS

20 TECHNOS

Dossier réalisé par Bertrand Garé et Guillaume Périssat avec Michel Chotard, Alain Clapaud et Bastien Lion.

CI/CD as a Service

CI/CD as a Service

L’intégration et la livraison continues sont des composantes fondamentales de la démarche DevOps. Toutefois, alors que les pipelines doivent prendre en compte les nouvelles architectures – conteneurs notamment –,...

Disque dur

Disque dur

Bousculé par la vitesse des mémoires Flash, le disque dur semble condamné. Pourtant, la demande en capacité ne faiblit pas, au contraire, elle s’envole, portée par les besoins infinis du Cloud…

RSS
Afficher tous les dossiers

BASES DE DONNÉES : le DBaaS va tout balayer - Gestion de l'information : structurer le non structuré ! - Municipales : la politique se numérise, le numérique se politise - Cybersécurité : les planètes Cyber alignées ! - DevOps : WevAssembly, langage assembleur du Web - AMP confié à OpenJS - Pénurie des formations IA - À la recherche de nouvelles compétences IT...

 

20 TECHNOS pour 2020 et au-delà... : multicloud, rpa, edge&fog, apis, quantique... - La transfo numérique exemplaire d'une PME industrielle - BYOK : chiffrer le Cloud - L'Open Source teinté d'Orange - Mettre de l'intelligence dans l'APM - Le disque dur fait de la résistance - CI/CD as a Service - Digital Campus, n°1 des écoles du numérique...

 

L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

 

Afficher tous les derniers numéros

Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


OneTrust est une plateforme logicielle innovante de gestion de la confidentialité, de la sécurité des données personnelles et des risques fournisseurs. Plus de 4 000 entreprises ont choisi de faire confiance à cette solution pour se conformer au RGPD, au CCPA, aux normes ISO 27001 et à différentes législations internationales de confidentialité et de sécurité des données personnelles.

OneTrust vous propose de télécharger le texte officiel du Règlement Général sur la Protection des Données (RGPD). Vous aurez également la possibilité de recevoir la version imprimée de ce texte, sous forme de guide pratique au format A5, spiralé, en complétant le formulaire.


Le présent guide d'achat vous aidera à améliorer l'efficacité de votre cloud hybride, en mettant l'accent sur les stratégies de gestion des données dédiées aux applications correspondantes.


Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


Tous les Livres Blancs
Derniers commentaires
Le secrétaire d'Etat au Numérique Cédric O sur le perron de l'Elysée, le 15 janvier 2020 à ParisLe secrétaire d’État chargé du numérique Cédric O a partagé jeudi ses "incertitudes très fortes" sur la réussite du projet StopCovid censé aider à endiguer l'épidémie en traçant les cas-contacts via une application, mais dont l'efficacité et les implications pour la vie privée posent question. [Lire la dépêche...]

L'application de visioconférence Zoom, dont l'usage a explosé avec le confinement en vigueur dans de nombreux pays, a annoncé jeudi un renforcement de la sécurité de ses appels, après une semaine noire, durant laquelle elle a vu sa réputation ternie par une série de scandales. [Lire la dépêche...]

Le robot Qu'ils évoquent le progrès ou des cauchemars de science-fiction, les robots, efficaces, rapides et imperméables à la contagion, n'ont jamais autant prouvé leur utilité que dans la lutte contre l'ennemi invisible numéro un. [Lire la dépêche...]

Karen Dova, la PDG de l'entreprise norvégienne No Isolation, devant un écran Komp destiné principalement aux personnes âgées, le 7 avril 2020 à OsloVeuf, Per Leif Rolid vit seul dans sa ferme, à deux heures de route d'Oslo. Un sentiment d'isolement accentué par la pandémie de Covid-19 mais que le vieillard parvient à briser grâce à un simple écran qui lui permet d'être en ligne sans la moindre compétence numérique. [Lire la dépêche...]

Le logo du service de vidéo à la demande de Disney, Disney+La plateforme de vidéo en streaming Disney+ compte désormais 50 millions d'abonnés payants dans le monde, cinq mois après son lancement aux Etats-Unis et deux semaines après son arrivée en Europe. [Lire la dépêche...]

L'application Snapchat semblait en panne dans certaines régions mercredi, de nombreux utilisateurs européens et américains se plaignant sur Twitter de problèmes pour se connecter ou pour publier des photosSnapchat a annoncé mercredi avoir réparé l'application après une panne qui a affecté de nombreux utilisateurs européens et américains quelques heures plus tôt. [Lire la dépêche...]

Des passants dans les rues de Milan le 28 février 2020, avant le confinementUtiliser les données de nos téléphones pour lutter contre le coronavirus, tout en évitant les atteintes aux libertés individuelles: le gouvernement français planche sur ce sujet épineux avec un projet d'application mobile pour "identifier les chaînes de transmission", sur "la base du volontariat". [Lire la dépêche...]

UN client dans un supermarché à Nanterre consulte son téléphone le 27 mars 2020La France travaille au développement d'une application sur smartphone, utilisable "sur la base du volontariat" pour identifier les personnes ayant été contact avec une personne infectée par le coronavirus, ont affirmé le ministre de la Santé Olivier Véran et le secrétaire d'Etat au Numérique Cédric O. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

READY FOR IT

La première édition de Ready For IT se déroule du 25 au 27 mai 2020 à Monaco (Grimaldi Forum) : conférences, keynotes, ateliers et rendez-vous one-to-one. Organisé par DG Consultants.

BIG DATA

Conférences et exposition sur le Big Data les 27 et 28 mai 2020 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

RSS
Voir tout l'AgendaIT
0123movie