L'avis de... Eric Bérenguier, architecte senior chez Octo Technology*

« L’obfuscation n’est pas utilisée dans les établissements financiers »

le 22/04/2010 L'AGEFI Hebdo

L’obfuscation** est-elle couramment employée dans les institutions financières ?

Pas à ma connaissance. Mais certains responsables informatiques se posent la question. C’est une technologie qui existe depuis longtemps déjà, avec la mise au point des langages de programmation C et C++ (au début des années 80, NDLR). Elle assure la protection du code informatique vis-à-vis de personnes extérieures, comme dans le cas d’éditeurs voulant empêcher la divulgation des codes de leurs logiciels. La sécurisation du code à l’intérieur de l’entreprise avec une solution d’obfuscation est bien plus lourde et coûteuse.

Pour quelles raisons ?

Dans le cadre d’un développement en interne, le code circule beaucoup, il est manipulé, testé par de nombreuses personnes : les développeurs, mais aussi les responsables de sauvegardes et les administrateurs d’outils de gestion de version. Ceux-ci, par exemple, sont amenés à faire des requêtes pour améliorer les performances des bases de données, ils doivent donc être en mesure de comprendre le code pour effectuer ou demander les ajustements nécessaires. Cependant, même si la technologie est parfaitement maîtrisée, l’obfuscation peut avoir de forts impacts sur un projet de développement. Intégrée et automatisée, elle va nécessiter une intensification des phases de test. Comme certains éléments du code sont supprimés avant la compilation***, cela complique l’identification des erreurs et nécessite un paramétrage précis de l’outil d’obfuscation.

Dans quels cas peut-on l’utiliser alors ?

Il faut considérer la sécurité comme un tout, l’obfuscation n’est qu’un élément parmi d’autres. Il faut donc chiffrer son utilisation en termes de coûts mais aussi d’avantages. Cela relève de la gestion des risques. Les responsables de la sécurité doivent poser les questions suivantes : quelles conséquences suite à la transmission du code à des personnes extérieures ? Si ces personnes mettent un certain temps à l’exploiter, dans quelles mesures l’aurons-nous fait évoluer, quelle est la valeur intrinsèque du code ? A quelle vitesse devons-nous innover pour minimiser l’impact de toute fuite de code ?

*Société de services informatiques spécialisée dans l’architecture des systèmes d’information et leur sécurisation

**Opération consistant à transformer du code informatique pour le rendre incompréhensible par un humain, même équipé de logiciels spécifiques

***Opération consistant à traduire du langage de programmation, compréhensible par un humain, en langage binaire, exécutable par les ordinateurs

A lire aussi