Situation complexe pour Kaspersky, qui se retrouve pris dans le feu politique ceinturant le conflit militaire déclenché par l’invasion russe de l’Ukraine. Si en France l’ANSSI recommande d’attendre, l’Allemagne déconseille désormais l’utilisation des produits de l’entreprise. Kaspersky critique une décision purement politique.
L'image de l'entreprise russe avait déjà été écornée, notamment en 2017 quand les administrations américaines avaient fait glisser les produits de l’entreprise sur liste noire, interdisant de fait d’en équiper tout ordinateur d’une institution étatique.
Après plusieurs mois, Kaspersky avait lancé une grande campagne de communication, dénonçant une décision politique sur fond de tensions avec la Russie. Bien décidé à montrer patte blanche, l’éditeur avait dévoilé son plan : inspection de son code par un tiers, inspection des processus internes par plusieurs tiers, ouverture de centres dédiés à la transparence, hausse significative des primes pour les bugs signalés…
Presque cinq ans plus tard, la situation se répète, dans un contexte critique, celui de l'invasion militaire de l'Ukraine par la Russie.
L’ANSSI invite à patienter…
Il y a deux semaines, l’Agence nationale de la sécurité des systèmes d'information donnait sa position : ne pas céder à la panique. L’ANSSI était très claire à ce sujet, notant qu’« aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ».
Pire, supprimer les produits de Kaspersky serait contre-productif et, « sans solution de substitution, cette déconnexion ne saurait être préconisée ». En somme, ne pas se précipiter sur la désinstallation de l’antivirus, surtout si aucune solution de remplacement n’est prévue.
L’ANSSI voyait davantage un problème dans une situation plus générale qui pourrait affecter la capacité de Kaspersky à livrer des mises à jour pertinentes en temps et en heure. L’Agence invitait néanmoins à réfléchir à des stratégies de diversification des solutions de sécurité.
…l’Allemagne déconseille toute utilisation
En Allemagne, le ton est très différent. Le BSI (Bundesamt für Sicherheit in der Informationstechnik, Office fédéral allemand pour la sécurité en matière de technologies de l'information) déconseille désormais aux entreprises d’utiliser les produits de Kaspersky.
Il y a pour le BSI un lien direct entre l’attitude de la Russie et la sécurité informatique en Allemagne : « Les actions des forces militaires et de renseignement en Russie et les menaces proférées par la Russie contre l'Union européenne, l'OTAN et la République fédérale d'Allemagne au cours du conflit armé actuel, sont associées à un risque considérable de réussite d'une attaque informatique ».
Dans un tel contexte, « un constructeur informatique russe peut mener lui-même des opérations offensives, être contraint d'attaquer des systèmes cibles contre son gré, être espionné à son insu en tant que victime d'une cyberopération, ou être utilisé à mauvais escient comme outil d'attaques contre ses propres clients », affirme l’agence allemande.
Notant que les « entreprises et autorités ayant des intérêts particuliers en matière de sécurité ainsi que les exploitants d'infrastructures critiques sont particulièrement menacés », le BSI recommande d’appliquer le principe de précaution.
La situation ne serait pas si périlleuse si les antivirus n’étaient pas des logiciels aussi particuliers. Ils « disposent d'autorisations système étendues et, en raison du système (au moins pour les mises à jour), doivent maintenir une connexion permanente, chiffrée et non vérifiable avec les serveurs du fabricant ».
« En cas de doute sur la fiabilité du fabricant, le logiciel antivirus présente un risque particulier pour l’infrastructure informatique à protéger », résume le BSI.
Comme le précise l’Office dans sa FAQ, il ne s’agit pas d’une interdiction d’utiliser les produits Kaspersky, mais d’un conseil pour les entreprises et administrations.
Côté grand public, « les consommateurs sont peut-être les moins visés, mais en cas d'attaque réussie, ils pourraient aussi être victimes d'effets collatéraux ». Aucun risque ne peut être exclu : données supprimées, dérobées ou chiffrées, détournement de l’antivirus à des fins d’attaque.
Notez qu'en même temps que l'avis du BSI, l'Eintracht Francfort passait à l'action. Le club allemand avait déjà suspendu le contrat avec son sponsor dès les premiers pas des bottes russes en Ukraine. Il est maintenant officiellement rompu. « Notre confiance envers les produits et services de Kaspersky pour [nous] fournir une protection a vraiment changé. Nous avons notifié Kaspersky que nous avons résilié le contrat de sponsor avec effet immédiat », a indiqué un porte-parole.
Pour Kaspersky, la décision est purement politique
La réaction de l’entreprise russe ne s’est pas fait attendre. Sur Twitter, elle a publié un communiqué en anglais et en allemand.
« Nous pensons que cette décision n’est pas basée sur une évaluation technique des produits Kaspersky – que nous avons continuellement prônée au BSI et dans le reste de l’Europe – mais est faite sur une base politique. Nous continuerons de garantir la qualité et l’intégrité de nos produits à nos partenaires et clients, et nous travaillerons avec le BSI pour [obtenir] une clarification de cette décision ». Et plus généralement sur les inquiétudes qu’auraient d’autres régulateurs.
L’entreprise donne quelques informations plus précises : « Notre infrastructure de traitement des données a été relocalisée en Suisse en 2018. Depuis, les fichiers suspicieux et malveillants partagés volontairement par les utilisateurs allemands sont traités dans deux centres à Zurich […] pour assurer les plus hauts niveaux de sécurité ».
Les statistiques émanant des utilisateurs sont traitées, elles, dans de nombreux pays, y compris au Canada et en Allemagne. La sécurité et l’intégrité des services ont été auditées à plusieurs reprises, dont une fois par l’un des Big Four et une autre au travers du processus de certification ISO 27001.
Problème pour Kaspersky, il s’agit toujours d’une entreprise russe, et par là même soumise au cadre législatif russe. Il peut donc exister une zone grise entre ce qu’elle fait et les obligations auxquelles elle peut, ou pourra, être tenue.
Contrairement à l’ANSSI, le BSI préfère agir très en amont par précaution, signalant à plusieurs reprises « qu’aucun risque ne peut être exclu ».
