Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

En pleine crise de confiance, Kaspersky tente la transparence

Pourquoi avoir attendu ?
Logiciel 6 min
En pleine crise de confiance, Kaspersky tente la transparence
Crédits : RomoloTavani/iStock

Plongée dans une tourmente médiatique, Kaspersky a décidé de répondre frontalement aux critiques. Accusée d’être trop liée au renseignement russe, l’entreprise prévoit des rapports et centres de transparence, en plus d’un droit de regard sur son code source.

C’est face à un contexte particulièrement délicat que l’éditeur russe lance un vaste plan d’action destiné à montrer patte blanche. Kaspersky affronte en effet une importante crise : rejeté par les administrations américaines, pointée du doigt par le Congrès, plongée dans les remous d’articles des plus gros journaux outre-Atlantique, l’entreprise veut jouer la transparence.

Très active dans le monde de la sécurité, elle n’en demeure pas moins fragile sur un critère commun à tout le secteur : la confiance de l’utilisateur est essentielle au succès commercial. Kaspersky, qui proclame depuis des mois son innocence, parle donc désormais de centres dédiés à la transparence, de révision de son code source par des acteurs privilégiés ou encore d’inspection de ses méthodes par des organismes tiers.

Un plan de lutte en quatre parties

Kaspersky ne tourne pas autour du pot : le plan annoncé est une réponse directe aux accusations de ces derniers mois. Une crise latente, précipitée tout à coup par la décision de la General Services Administration américaine d’interdire ces produits sur les machines de certains services (nous y reviendrons).

Le plan comprend quatre grands volets. Premièrement, le code source des solutions de sécurité sera soumis pour inspection à une entité tierce, dont le nom n’a pas encore été donné. Kaspersky promet de l’annoncer très bientôt, évoquant une « autorité reconnue internationalement ». La révision du code source débuterait durant le premier trimestre 2018.

Deuxièmement, une inspection des processus internes, là encore par un ou plusieurs acteurs qui n’ont pas été nommés. L’entreprise veut prouver l’intégrité de ses méthodes.

Des centres de transparence pour les gouvernements

Troisièmement, l’ouverture de centres dédiés à la transparence. Trois sont pour l’instant prévus : un aux États-Unis, un en Europe et un autre en Asie. Un premier centre doit ouvrir dès l’année prochaine, les deux autres arrivant en 2020 au plus tard. Kaspersky n’indique pas quelle zone est concernée en premier, mais la logique voudrait qu’il s’agisse des États-Unis, puisque c’est là-bas que se situent les plus gros problèmes.

En Europe, c'est l'Allemagne qui a été choisie, comme indiqué par Eugene Kaspersky dans un entretien au Monde. Rappelons que l'éditeur se prépare en France à une certification de produits dédiés aux opérateurs d’importance vitale (OIV), qui passera donc par l'ANSSI.

Les centres sont sans doute la pièce maîtresse du projet de Kaspersky. Ce sont via ces derniers que les entreprises, gouvernements et autres pourront demander à voir le code source et obtenir des renseignements « précis » sur le fonctionnement des produits. L’initiative ressemble à ce qu’avait mis en place Microsoft il y a des années pour les États.

Une chasse aux failles nettement mieux récompensée

Ceux qui suivent de près l’actualité de la sécurité savent que les programmes de « bug bounty » ont un rôle croissant. Des entreprises récompensent la découverte de failles, le plus souvent par des chercheurs. Plus les sommes sont élevées, moins la tentation de vendre les informations au plus offrant se manifeste. Du moins en théorie.

Jusqu’à présent, la plus haute somme donnée par Kaspersky était de 5 000 dollars pour les failles les plus sérieuses, avec preuves à l’appui. Ce chiffre s’envole désormais à 100 000 dollars, sans que les conditions ne changent. Les vulnérabilités doivent simplement concerner l’antivirus lui-même ou l’une des suites de sécurité. Un chiffre beaucoup plus en phase avec la « réalité », Apple et Microsoft ayant révisé également à la hausse leurs récompenses cette année.

Quand on sait qu’une faille dans iOS 10 était achetée 1,5 million de dollars par Zerodium, on comprend vite que les 5 000 dollars de Kaspersky ne pesaient pas lourd. Peut-on pour autant mettre sur un pied d’égalité un système d’exploitation et un antivirus ? C’est justement tout le problème : oui.

Une ribambelle de signaux négatifs

Les antivirus jouissent d’une position particulière sur les systèmes d’exploitation. Pour qu’ils puissent faire correctement leur travail, ils se voient octroyer d’importants pouvoirs, notamment pour inspecter toujours plus d’opérations. La lutte a fortiori contre les virus a depuis longtemps été remplacée par une vigilance a priori.

Un produit comme Kaspersky surveille donc tout : documents, pilotes, exécution des programmes, navigation web et ainsi de suite. Des informations personnelles – voire sensibles – transitent par lui. Un produit doté de telles capacités devrait toujours questionner l’utilisateur sur la pertinence de son choix et l’intégrité de l’entreprise qui le propose.

Les antivirus sont cependant si familiers que peu se posent vraiment ces questions. En juillet, quand la GSA américaine décide de sortir Kaspersky des logiciels autorisés dans certaines administrations, ce problème devient majeur. Deux mois plus tard, Kaspersky se voit refusé toute entrée sur une machine fédérale, par décision du gouvernement.

Persona non grata, l’antivirus est montré du doigt comme un véritable cheval de Moscou. Sont notamment évoquées des accointances de responsables de l’entreprise avec des membres haut placés du gouvernement russe et un rapprochement de longue date avec le FSB, la puissante agence de renseignement au pays de Dostoïevski.

Le New York Times, le Wall Street Journal et le Washington Post ont tout trois publié plusieurs histoires troubles sur les liens de l’éditeur avec le renseignement, alimentant en retour le climat de défiance. Selon des sources anonymes des trois médias, l’implication des espions russes aurait été confirmée au renseignement américain par des espions israéliens. Ces derniers seraient responsables de l’attaque de 2015 contre Kaspersky.

Toujours selon ces journaux, la vraie peur s’articulerait autour de données particulièrement sensibles dérobées par l’espionnage russe à la NSA. L’opération aurait été rendue possible après qu’un sous-traitant de l’agence américaine eut ramené chez lui – brisant le protocole de sécurité – ces données pour les placer dans son ordinateur personnel… protégé par Kaspersky. C’est de cette manière que le FSB aurait appris l’existence de ces fichiers.

Un point nié par Eugene Kaspersky cependant, car les données ne seraient envoyées vers les serveurs de l'éditeur qu'en cas de détection d'un malware, à des fins d'analyse. Et quand bien même des données sensibles seraient envoyées, la politique serait stricte : « S’il y a la moindre information classifiée, de quelque pays que ce soit, qui a été envoyée dans le cloud, cette information est supprimée » assure le fondateur et PDG.

Crise de confiance

Kaspersky peut-il restaurer la confiance avec cette approche sur plusieurs créneaux ? Rien d’impossible, mais la route sera longue. L’imbroglio dépasse largement les frontières d’une simple défaveur : l’éditeur russe clame haut et fort qu’il est une victime d’un conflit géopolitique qui le dépasse.

Par ailleurs, l’inspection du code et les centres de transparence sont des mesures importantes mais qui, dans l’absolu, n’apporteront jamais de preuves irréfutables. Comme toujours avec un code source fermé, il n’existe pas de garantie que celui montré est bien celui commercialisé.

L’affaire est dans tous les cas intéressante, car révélatrice d’un domaine particulièrement opaque : celui des antivirus. Elle montre également un Kaspersky fébrile dévoilant un programme complet qui, sans nier l’importance des éléments annoncés, aurait pu être mis en place depuis bien des années. Dommage qu’il ait fallu attendre une telle crise pour que des pratiques de transparence soient instaurées.

Ironie de cet automne 2017, Kaspersky va proposer un droit de regard sur son code source pour les gouvernements, alors que Symantec l’a justement supprimé il y a deux semaines. Interrogée par Reuters, l’entreprise américaine arguait alors que les clauses menaçaient l’intégrité de ses solutions.

110 commentaires
Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/10/17 à 08:47:35

Premièrement, le code source des solutions de sécurité sera soumis pour inspection à une entité tierce

Une inspection du code source, c'est bien... Mais qu'est-ce qui prouve que le code inspecté est bien celui qui a servi générer la version qui tourne sur mon PC ? Ou qu'est-ce qui prouve que le compilateur/setup n'a pas injecté du code au moment de la génération de l'exécutable (CCleaner) ?

Bref, en closed-source il n'y a pas de confiance possible tant que toute la chaine de production n'est pas inspectée et que le binaire final n'est pas signé par les inspecteurs.

Édité par 127.0.0.1 le 24/10/2017 à 08:48
Avatar de Wawet76 Abonné
Avatar de Wawet76Wawet76- 24/10/17 à 08:55:36

> Comme toujours avec un code source fermé, il n’existe pas de garantie que celui montré
>  est bien celui commercialisé.

Une solution pour avoir confiance dans un build proposé par un tier, c'est de faire des builds reproductibles. Avec cette technique, des organismes ou gouvernements qui ont accès au code source pour l'éditer peuvent aussi valider que les builds proposés par l'éditeur correspondent au code audité.

C'est également valable pour le logiciel libre. Ouvrir le code permet à n'importe qui de l'auditer. Fournir des builds reproductibles permet à n'importe qui de vérifier que les builds proposés correspondent au code source fourni.

Avatar de wpayen Abonné
Avatar de wpayenwpayen- 24/10/17 à 08:55:57

127.0.0.1 a écrit :

Bref, en closed-source il n'y a pas de confiance possible tant que toute la chaine de production n'est pas inspectée et que le binaire final n'est pas signé par les inspecteurs.

Pareil en open-source.
Un binaire d'un soft open-source présent sur les serveurs de la communauté régissant le projet peut très bien avoir été touché par le même type d'attaque de CCleaner. Si tu veux être sûr à 100%, il faut compiler soit-même le code source venant d'un dépôt sécurisé en sécurisant le flux lors de la récupération.

L'assurance que le binaire disponible soit le même que les sources vérifiées est un pari. Que ce soit en open ou en closed source. Je reconnais cependant que le pari a pas les mêmes cote partout :non:

Avatar de Phil35 Abonné
Avatar de Phil35Phil35- 24/10/17 à 08:59:37

Ce serait intéressant de savoir ce que font les autres anti-virus pour mériter la confiance ?
Snowden dénonce l'espionnage éhonté des organismes USA, mais les USA réussissent à faire une contre communication contre le grand méchant Russe Kaspersky.
Cela ressemble à une guerre économique anti-russe.

Avatar de 2show7 INpactien
Avatar de 2show72show7- 24/10/17 à 09:08:01

De toute façon, j'ai déjà catalogué Eugène, il +- trois ans, si pas plus, quand il a dit que les données récoltées, il en ferait ce qui lui plaît. Je ne regarde même plus ses produits.

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 24/10/17 à 09:18:35

Si tu veux être sûr à 100%, il faut compiler soit-même le code source venant d'un dépôt sécurisé en sécurisant le flux lors de la récupération.

Effectivement, la partie "vérification des données récupérées" est également une nécessité en oepn-source. (peu importe la sécurisation du canal... La vérification de la signature est un moyen suffisant pour s'assurer que les données récupérées sont celles qui ont été signées par le(s) tier(s) de confiance).

Cependant, avoir un code ouvert permet de multiplier les origines (officiels, communautés, individus) et les types de données (code, binaire, setup, ...). On a donc plus de chance de trouver le type de données qu'on veut et le tiers qu'on peut considérer "de confiance".

Avatar de OlivierJ Abonné
Avatar de OlivierJOlivierJ- 24/10/17 à 09:35:20

Ça ne serait pas plus simple d'utiliser des OS qui n'ont pas besoin d'anti-virus, au hasard Linux ou BSD ?
(vraie question, à laquelle certains ont répondu depuis longtemps, que ce soit à titre personnel dans mon entourage, ou à titre professionnel).

Phil35 a écrit :

Ce serait intéressant de savoir ce que font les autres anti-virus pour mériter la confiance ?
Snowden dénonce l'espionnage éhonté des organismes USA, mais les USA réussissent à faire une contre communication contre le grand méchant Russe Kaspersky.
Cela ressemble à une guerre économique anti-russe.

Ou pas.
Si la guerre économique anti-russe se résume à Kaspersky, ça ne va pas aller bien loin...
(à noter que la NSA dispose des moyens les plus importants, mais les autres grands pays comme la Russie, la Chine, l'Angleterre et la France ne sont pas en reste, et que la collecte de données de la NSA ne choque pas les services français).

Avatar de wpayen Abonné
Avatar de wpayenwpayen- 24/10/17 à 09:35:48

Si pour les centres de transparence, ils suivent le modèle de Microsoft, c'est à peu près ce système.

A savoir que quand tu récupères les binaires, tu passes par un système (qui certes reste soumis aux attaques externes type CCleaner) dont l'organisme tiers valide la concordance binaire = source. Le centre de transparence de Microsoft à Bruxelles permet aux états d'accéder au code source des solutions de Microsoft et de builder leur propres releases. Après, ils le font pas par paresse (administrative).

Avatar de Pilou.be INpactien
Avatar de Pilou.bePilou.be- 24/10/17 à 09:42:27

Je ne sais pas vous mais il fut un temps où l'on utilisait le logiciel 'Trend Micro Antivirus' dans mon entreprise.
Un jour, en visitant un site assez particulier mais pas 'méchant', je me rends sur la page de 'log' de connexion et ma surprise fut d'apercevoir une 'ip' bizarre à une heure 'bizarre'!

Après un petit reverse-dns, j'arrive au 'japon' d'où est parti la connexion avec comme domaine 'Trend Micro'.

Cette société a donc gràce à un 'cookie' d'authentification (du moins, je présume ou à l'aide d'un hash quelconque et j'espère qu'ils n'ont pas choppé les cred en clair!?) réussi à se connecter. 

Je leur envois un email, après en avoir parler à mes collègues et le seul retour constructif (je ne parle pas du coup de fil avec le technicien qui ne comprenait pas de quoi je parlais en mode 'sourde oreille') que j'ai reçu est qu'un agent 'web' est installé sur ma machine afin de me(nous) protéger. Sans nier les faits, ils m'écrivent que parfois, celui-ci utilise/*remonte* des données (puisque serveur jap) afin de 'scanner' les sites visités dont ils n'ont pas d'information (à priori).

Je crois que le problème est bien plus généralisé que 'Kapersky'. Comme dit dans l'article, les logiciels Antivirus et consort, ont des droits sur les systèmes sur lesquels ils sont installés ainsi que sur notre vie privée... Ce qui me dérange, c'est que ni ma boite détenteur de la license, ni moi-même avons reçu de réponses satisfaisantes concernant la légalité de cette action (cf dans le mails envoyés). Sans faire de pub, on a changé de crêmerie pour la société slovaque 'Eset + NOD32, etc'. Choisir un logiciel antivirus 'européen' a peut-être un sens dans cette étrange guerre des données.

Édité par Pilou.be le 24/10/2017 à 09:46
Avatar de Ricard INpactien
Avatar de RicardRicard- 24/10/17 à 09:49:16

2show7 a écrit :

De toute façon, j'ai déjà catalogué Eugène, il +- trois ans, si pas plus, quand il a dit que les données récoltées, il en ferait ce qui lui plaît. Je ne regarde même plus ses produits.

Je fais pareil avec les produits Google.:chinois:

Il n'est plus possible de commenter cette actualité.
Page 1 / 11