L'Inde propose d'obliger les fabricants de smartphones à fournir le code source dans le cadre d'une refonte de la sécurité

NEW DELHI, Inde – L'Inde propose d'exiger des fabricants de smartphones qu'ils partagent le code source avec le gouvernement et effectuent plusieurs modifications logicielles dans le cadre d'une série de mesures de sécurité, suscitant une opposition en coulisses de géants comme Apple et Samsung.

Les entreprises technologiques ont rétorqué que l'ensemble de 83 normes de sécurité, qui inclurait également une exigence d'alerter le gouvernement des mises à jour logicielles majeures, ne présente aucun précédent mondial et risque de révéler des détails propriétaires, selon quatre personnes familières avec les discussions et un examen par Reuters de documents gouvernementaux et industriels confidentiels.

Le plan fait partie des efforts du Premier ministre Narendra Modi pour renforcer la sécurité des données utilisateurs alors que la fraude en ligne et les violations de données augmentent sur le deuxième plus grand marché de smartphones au monde, avec près de 750 millions de téléphones.

Le secrétaire informatique S. Krishnan a déclaré à Reuters samedi 10 janvier que "toute préoccupation légitime de l'industrie sera traitée avec un esprit ouvert", ajoutant qu'il était "prématuré d'en lire davantage".

Un porte-parole du ministère a déclaré dans une déclaration par courriel samedi qu'il ne pouvait commenter davantage en raison de la consultation en cours avec les entreprises technologiques sur les propositions.

Après la publication de l'article, une déclaration du ministère informatique a affirmé dimanche soir que les consultations visent à développer "un cadre réglementaire approprié et robuste pour la sécurité mobile", et qu'il s'engage "régulièrement" avec l'industrie "pour mieux comprendre la charge technique et de conformité".

Le ministère informatique a ajouté qu'il "réfute la déclaration" selon laquelle il envisage de demander le code source aux fabricants de smartphones, sans élaborer ni commenter les documents gouvernementaux ou industriels cités par Reuters.

Bras de fer continu sur les exigences gouvernementales

Apple, le coréen Samsung, Google, le chinois Xiaomi et MAIT, le groupe industriel indien qui représente les entreprises, n'ont pas répondu aux demandes de commentaires.

Les exigences du gouvernement indien ont irrité les entreprises technologiques auparavant. Le mois dernier, il a révoqué un ordre imposant une application de cybersécurité gérée par l'État sur les téléphones au milieu de préoccupations concernant la surveillance. Mais le gouvernement a écarté le lobbying l'année dernière et a exigé des tests rigoureux pour les caméras de sécurité par crainte d'espionnage chinois.

Xiaomi et Samsung — dont les téléphones utilisent le système d'exploitation Android de Google — détiennent respectivement 19% et 15% de la part de marché de l'Inde et Apple 5%, estime Counterpoint Research.

Parmi les exigences les plus sensibles des nouvelles Exigences d'Assurance de Sécurité des Télécommunications indiennes figure l'accès au code source — les instructions de programmation sous-jacentes qui font fonctionner les téléphones. Cela serait analysé et éventuellement testé dans des laboratoires indiens désignés, montrent les documents.

Les propositions indiennes exigent également que les entreprises apportent des modifications logicielles pour permettre la désinstallation des applications préinstallées et pour bloquer les applications d'utiliser les caméras et microphones en arrière-plan pour "éviter une utilisation malveillante".

"L'industrie a soulevé des préoccupations selon lesquelles les exigences de sécurité mondiales n'ont été imposées par aucun pays", a déclaré un document du ministère informatique de décembre détaillant les réunions que les responsables ont tenues avec Apple, Samsung, Google et Xiaomi.

Les normes de sécurité, rédigées en 2023, sont sous les projecteurs maintenant alors que le gouvernement envisage de les imposer légalement. Les dirigeants du ministère informatique et des entreprises technologiques doivent se réunir mardi pour plus de discussions, ont déclaré des sources.

Les entreprises affirment que l'examen et l'analyse du code source ne sont "pas possibles"

Les fabricants de smartphones protègent étroitement leur code source. Apple a refusé la demande de code source de la Chine entre 2014 et 2016, et les forces de l'ordre américaines ont également essayé et échoué à l'obtenir.

Les propositions de l'Inde pour "l'analyse des vulnérabilités" et "l'examen du code source" exigeraient que les fabricants de smartphones effectuent une "évaluation complète de la sécurité", après quoi les laboratoires de test en Inde pourraient vérifier leurs affirmations par l'examen et l'analyse du code source.

"Cela n'est pas possible... en raison du secret et de la confidentialité", a déclaré MAIT dans un document confidentiel rédigé en réponse à la proposition gouvernementale, et consulté par Reuters. "Les principaux pays de l'UE, d'Amérique du Nord, d'Australie et d'Afrique n'imposent pas ces exigences".

MAIT a demandé au ministère la semaine dernière d'abandonner la proposition, a déclaré une source directement informée.

Les propositions indiennes imposeraient un balayage automatique et périodique des logiciels malveillants sur les téléphones. Les fabricants d'appareils devraient également informer le Centre National pour la Sécurité des Communications des mises à jour logicielles majeures et des correctifs de sécurité avant de les publier aux utilisateurs, et le centre aurait le droit de les tester.

Le document de MAIT indique que le balayage régulier des logiciels malveillants draine considérablement la batterie d'un téléphone et que demander l'approbation gouvernementale pour les mises à jour logicielles est "impraticable" car elles doivent être émises rapidement.

L'Inde souhaite également que les journaux du téléphone – enregistrements numériques de son activité système – soient stockés pendant au moins 12 mois sur l'appareil.

"Il n'y a pas assez de place sur l'appareil pour stocker les événements du journal d'un an", a déclaré MAIT dans le document. –Rappler.com