L’Inde envisage de nouvelles normes de sécurité mobile qui pourraient obliger les fabricants de smartphones à partager le code source du système d’exploitation avec les laboratoires de test désignés par le gouvernement. Cette proposition a suscité des inquiétudes chez les principaux fabricants d’appareils, dont Apple et Samsung, concernant les risques potentiels pour la sécurité et la propriété intellectuelle.
Le plan rapporté fait partie d’un cadre plus large de règles proposées visant à renforcer la sécurité des smartphones et à réduire la fraude numérique. Les exigences provisoires décrites dans le rapport incluent des tests de sécurité obligatoires, le scan des logiciels malveillants et des restrictions sur la manière dont les applications accèdent aux fonctions sensibles des appareils tels que les caméras et les microphones. L’un des éléments les plus contestés est la suggestion que les entreprises pourraient être sollicitées pour fournir le code source, ce qui permettrait une inspection plus approfondie du fonctionnement des systèmes d’exploitation et de la mise en œuvre des protections de sécurité.
Des représentants de l’industrie ont déclaré que forcer les entreprises à partager leur code source serait inhabituel comparé à d’autres grands marchés. Les fabricants soutiennent qu’un tel accès pourrait exposer des technologies propriétaires et augmenter le risque de découverte et d’utilisation abusive de faiblesses de sécurité si le code n’est pas géré sous des protections strictes. Les entreprises ont également exprimé des inquiétudes quant à la manière dont l’accès au code serait géré, qui serait autorisé à le revoir, et quelles protections seraient mises en place pour prévenir les fuites ou les abus.
Le projet de cadre inclut également des dispositions qui pourraient exiger une notification préalable des mises à jour logicielles majeures et des changements de sécurité. Certaines entreprises ont averti que ce type d’exigences pourrait ralentir le déploiement de correctifs, qui sont souvent publiés rapidement pour corriger les vulnérabilités nouvellement découvertes. Les retards dans les mises à jour de sécurité peuvent prolonger le temps où les appareils restent exposés à des menaces connues.
Les responsables indiens ont déclaré que le pays consultait les fabricants et autres parties prenantes et que les discussions étaient en cours. Le gouvernement a présenté cette initiative comme un effort visant à améliorer la sécurité des appareils et à protéger les données des utilisateurs sur un marché mobile vaste et en croissance. L’Inde possède l’une des plus grandes bases d’utilisateurs de smartphones au monde, et les téléphones sont largement utilisés pour la banque, les paiements, les services d’identité et l’accès aux programmes gouvernementaux.
Après la publication du rapport, une déclaration du gouvernement indien citée dans les médias locaux a contesté les affirmations selon lesquelles il existe un plan formel visant à forcer les fabricants de smartphones à fournir le code source. Le communiqué a indiqué que les consultations font partie des travaux sur les normes de sécurité et que certains rapports sur des mesures spécifiques étaient trompeurs. Aucune règle finale n’a été annoncée.
Le débat reflète des tensions plus larges entre les efforts gouvernementaux visant à renforcer la cybersécurité nationale et les préoccupations de l’industrie concernant la protection de la propriété intellectuelle et le maintien de pratiques de développement logiciel sécurisées. Toute exigence finale affecterait probablement la manière dont les fabricants de smartphones testent et certifient les appareils à vendre en Inde, et pourrait influencer des discussions réglementaires similaires dans d’autres pays.