Le gouvernement indien a proposé une refonte majeure des exigences de sécurité des smartphones dans le cadre des « Indian Telecom Security Assurance Requirements ». Cela comprend un ensemble de 83 normes de sécurité censées renforcer la protection des données des utilisateurs face à la recrudescence des escroqueries en ligne et des cybermenaces sur le marché massif des smartphones du pays.
Des géants de la technologie comme Apple et Samsung s'opposent à cette initiative, affirmant que l'ensemble manque de tout précédent mondial et pourrait révéler des détails exclusifs et des secrets commerciaux, en particulier le code source, quelque chose qu'Apple protège farouchement et qu'il a par le passé refusé de partager avec des pays comme les États-Unis et la Chine.
Cependant, le pays affirme que ces exigences font partie de la stratégie plus large du Premier ministre Narendra Modi visant à renforcer la cybersécurité en Inde, qui est le deuxième plus grand marché de smartphones au monde.
Le gouvernement indien formule des exigences aux fabricants de téléphones
Voici une liste de certaines des exigences de sécurité que l'Inde propose aux fabricants de smartphones comme Apple et Samsung, ce qui a suscité une opposition en coulisses de la part des entreprises technologiques.
- Divulgation du code source obligeant les fabricants non seulement à tester, mais aussi à fournir le code source exclusif pour examen par des laboratoires désignés par le gouvernement, censés identifier les vulnérabilités dans les systèmes d'exploitation des téléphones qui pourraient être exploitées par des attaquants.
- Restrictions des autorisations en arrière-plan qui empêchent les applications d'accéder aux caméras, microphones ou services de localisation en arrière-plan lorsque les téléphones sont inactifs, et lorsque ces autorisations sont actives, une notification continue dans la barre d'état est requise
- Alertes de révision des autorisations qui exigent que les appareils affichent périodiquement des avertissements invitant les utilisateurs à examiner toutes les autorisations des applications, avec des notifications continues.
- Conservation des journaux pendant un an, qui exige que les appareils stockent les journaux d'audit de sécurité, y compris les installations d'applications et les journaux système, pendant jusqu'à 12 mois.
- Analyse périodique des logiciels malveillants, où les téléphones doivent périodiquement rechercher des logiciels malveillants et identifier toute application potentiellement nuisible.
- Option de supprimer les applications préinstallées fournies avec le système d'exploitation du téléphone, à l'exception de celles essentielles aux fonctions de base du téléphone.
- Informer une organisation gouvernementale avant de publier toute mise à jour majeure ou correctif de sécurité.
- Avertissements de détection de manipulation qui détectent lorsque les téléphones ont été rootés ou « jailbreakés », et affichent des bannières d'avertissement continues pour recommander des mesures correctives.
- Protection anti-retour en arrière qui bloque définitivement l'installation de versions logicielles plus anciennes, même si elles sont officiellement signées par le fabricant, pour empêcher les régressions de sécurité.
Ce que pensent les entreprises technologiques des exigences
Le gouvernement indien a défendu les exigences de sécurité en affirmant qu'elles visent à protéger ses citoyens, une décision qui s'aligne sur l'initiative de sécurité des données de Narendra Modi. Cependant, des acteurs majeurs comme Samsung, Apple, Xiaomi et Google, représentés par MAIT, le groupe industriel indien qui représente ces entreprises, ont exprimé leur opposition, notamment concernant le partage du code source.
« Cela n'est pas possible… en raison du secret et de la confidentialité », a déclaré MAIT, le groupe représentant les fabricants de smartphones, dans un document confidentiel rédigé en réponse à la proposition gouvernementale. « Les grands pays de l'UE, d'Amérique du Nord, d'Australie et d'Afrique n'imposent pas ces exigences. »
Ils affirment qu'il n'existe également aucun moyen fiable de détecter les téléphones jailbreakés ou d'empêcher la manipulation, affirmant que l'anti-retour en arrière manque de normes, et que de nombreuses applications préinstallées doivent être conservées car elles sont des composants système critiques.
MAIT aurait demandé au ministère d'abandonner la proposition, selon une source ayant une connaissance directe. Les documents de l'entreprise indiquent également que l'analyse régulière des logiciels malveillants épuiserait considérablement la batterie d'un téléphone et qu'il est « impraticable » de solliciter l'approbation gouvernementale pour les mises à jour logicielles, car elles sont censées être des corrections rapides.
Concernant les journaux téléphoniques que le gouvernement a demandé de stocker pendant au moins 12 mois sur les appareils, MAIT affirme que la plupart des appareils n'ont pas la capacité de stocker de tels journaux, ce qui en fait une demande impossible à satisfaire.
En réponse aux points soulevés par MAIT, le secrétaire informatique S. Krishnan a affirmé que toute préoccupation légitime de l'industrie serait abordée avec un esprit ouvert, tout en ajoutant qu'il était « prématuré d'en tirer davantage de conclusions ».
Entre-temps, un porte-parole du ministère a refusé de commenter davantage, affirmant que la consultation était en cours avec les entreprises technologiques sur les propositions.
Les esprits crypto les plus brillants lisent déjà notre newsletter. Vous voulez y participer ? Rejoignez-les.
Source: https://www.cryptopolitan.com/apple-samsung-resist-india-government/
