@eau-mission
Pour être précis. Je n’ai pas lu le code source (personne ne le peut, sauf l’auteur de l’application) ; j’en ai lu une reconstruction symbolique opérée à l’aide d’un ensemble logiciel que l’on appelle un décompilateur. La reconstruction obtenue est parfois obscure et labyrinthique car dépourvue de commentaire ou de noms explicites ; il faut y naviguer au flair, en annotant à droite à gauche, jusqu’à ce que se dégage l’image générale de l’algorithme étudié.
La seule chose que l’on puisse prouver est le comportement de l’application. Si elle se connecte à un serveur distant (les fonctions pour ce faire passent nécessairement par le système d’exploitation, on peut donc « s’y poster » en mettant une sonde et les y attendre comme le ferait un flic sur un rond-point), de quelle manière, avec quel protocole, et éventuellement par une étude plus poussée (en utilisant un proxy SSL du type « homme du milieu » et en partageant les certificats par exemple) on pourra éventuellement montrer la nature des données échangées si celles-ci sont cryptées. On peut aussi établir cette preuve d’une autre manière, en reconstruisant complètement la documentation de l’algorithmique de l’application, en annotant chaque fonction, etc. jusqu’à trouver la source des données envoyées.
Il est possible de faire beaucoup de choses de façon discrète, mais ça exige une connaissance fine du système d’exploitation, du matériel, des puces sur lesquelles le système fonctionne, de leur éventuel logiciel d’usine (firmware), etc. Voir les outils qu’a développé la NSA sur ce sujet : par exemple, il est possible d’accéder à la carte réseau à l’insu du système d’exploitation via le SMM (system management mode), qui est typiquement un système MINIX.
Au sujet d’Huaweï, je pense, mais cela n’engage que moi, que c’est un aveu du retard des Etats-Unis en matière technologique, et peut-être du fait que la NSA n’était pas « prête » (ne disposait pas encore des outils) pour « implanter » ce matériel. Une simple affaire d’intimidation du plus fort. Mais c’est un avis au doigt mouillé, qui ne vaut rien.
Bien à vous