En pleine crise de confiance, Kaspersky tente la transparence

Pourquoi avoir attendu ? 110
Accès libre
image dediée
Crédits : RomoloTavani/iStock
Sécurité
Par
le mardi 24 octobre 2017 à 10:32
Vincent Hermann

Plongée dans une tourmente médiatique, Kaspersky a décidé de répondre frontalement aux critiques. Accusée d’être trop liée au renseignement russe, l’entreprise prévoit des rapports et centres de transparence, en plus d’un droit de regard sur son code source.

C’est face à un contexte particulièrement délicat que l’éditeur russe lance un vaste plan d’action destiné à montrer patte blanche. Kaspersky affronte en effet une importante crise : rejeté par les administrations américaines, pointée du doigt par le Congrès, plongée dans les remous d’articles des plus gros journaux outre-Atlantique, l’entreprise veut jouer la transparence.

Très active dans le monde de la sécurité, elle n’en demeure pas moins fragile sur un critère commun à tout le secteur : la confiance de l’utilisateur est essentielle au succès commercial. Kaspersky, qui proclame depuis des mois son innocence, parle donc désormais de centres dédiés à la transparence, de révision de son code source par des acteurs privilégiés ou encore d’inspection de ses méthodes par des organismes tiers.

Un plan de lutte en quatre parties

Kaspersky ne tourne pas autour du pot : le plan annoncé est une réponse directe aux accusations de ces derniers mois. Une crise latente, précipitée tout à coup par la décision de la General Services Administration américaine d’interdire ces produits sur les machines de certains services (nous y reviendrons).

Le plan comprend quatre grands volets. Premièrement, le code source des solutions de sécurité sera soumis pour inspection à une entité tierce, dont le nom n’a pas encore été donné. Kaspersky promet de l’annoncer très bientôt, évoquant une « autorité reconnue internationalement ». La révision du code source débuterait durant le premier trimestre 2018.

Deuxièmement, une inspection des processus internes, là encore par un ou plusieurs acteurs qui n’ont pas été nommés. L’entreprise veut prouver l’intégrité de ses méthodes.

Des centres de transparence pour les gouvernements

Troisièmement, l’ouverture de centres dédiés à la transparence. Trois sont pour l’instant prévus : un aux États-Unis, un en Europe et un autre en Asie. Un premier centre doit ouvrir dès l’année prochaine, les deux autres arrivant en 2020 au plus tard. Kaspersky n’indique pas quelle zone est concernée en premier, mais la logique voudrait qu’il s’agisse des États-Unis, puisque c’est là-bas que se situent les plus gros problèmes.

En Europe, c'est l'Allemagne qui a été choisie, comme indiqué par Eugene Kaspersky dans un entretien au Monde. Rappelons que l'éditeur se prépare en France à une certification de produits dédiés aux opérateurs d’importance vitale (OIV), qui passera donc par l'ANSSI.

Les centres sont sans doute la pièce maîtresse du projet de Kaspersky. Ce sont via ces derniers que les entreprises, gouvernements et autres pourront demander à voir le code source et obtenir des renseignements « précis » sur le fonctionnement des produits. L’initiative ressemble à ce qu’avait mis en place Microsoft il y a des années pour les États.

Une chasse aux failles nettement mieux récompensée

Ceux qui suivent de près l’actualité de la sécurité savent que les programmes de « bug bounty » ont un rôle croissant. Des entreprises récompensent la découverte de failles, le plus souvent par des chercheurs. Plus les sommes sont élevées, moins la tentation de vendre les informations au plus offrant se manifeste. Du moins en théorie.

Jusqu’à présent, la plus haute somme donnée par Kaspersky était de 5 000 dollars pour les failles les plus sérieuses, avec preuves à l’appui. Ce chiffre s’envole désormais à 100 000 dollars, sans que les conditions ne changent. Les vulnérabilités doivent simplement concerner l’antivirus lui-même ou l’une des suites de sécurité. Un chiffre beaucoup plus en phase avec la « réalité », Apple et Microsoft ayant révisé également à la hausse leurs récompenses cette année.

Quand on sait qu’une faille dans iOS 10 était achetée 1,5 million de dollars par Zerodium, on comprend vite que les 5 000 dollars de Kaspersky ne pesaient pas lourd. Peut-on pour autant mettre sur un pied d’égalité un système d’exploitation et un antivirus ? C’est justement tout le problème : oui.

Une ribambelle de signaux négatifs

Les antivirus jouissent d’une position particulière sur les systèmes d’exploitation. Pour qu’ils puissent faire correctement leur travail, ils se voient octroyer d’importants pouvoirs, notamment pour inspecter toujours plus d’opérations. La lutte a fortiori contre les virus a depuis longtemps été remplacée par une vigilance a priori.

Un produit comme Kaspersky surveille donc tout : documents, pilotes, exécution des programmes, navigation web et ainsi de suite. Des informations personnelles – voire sensibles – transitent par lui. Un produit doté de telles capacités devrait toujours questionner l’utilisateur sur la pertinence de son choix et l’intégrité de l’entreprise qui le propose.

Les antivirus sont cependant si familiers que peu se posent vraiment ces questions. En juillet, quand la GSA américaine décide de sortir Kaspersky des logiciels autorisés dans certaines administrations, ce problème devient majeur. Deux mois plus tard, Kaspersky se voit refusé toute entrée sur une machine fédérale, par décision du gouvernement.

Persona non grata, l’antivirus est montré du doigt comme un véritable cheval de Moscou. Sont notamment évoquées des accointances de responsables de l’entreprise avec des membres haut placés du gouvernement russe et un rapprochement de longue date avec le FSB, la puissante agence de renseignement au pays de Dostoïevski.

Le New York Times, le Wall Street Journal et le Washington Post ont tout trois publié plusieurs histoires troubles sur les liens de l’éditeur avec le renseignement, alimentant en retour le climat de défiance. Selon des sources anonymes des trois médias, l’implication des espions russes aurait été confirmée au renseignement américain par des espions israéliens. Ces derniers seraient responsables de l’attaque de 2015 contre Kaspersky.

Toujours selon ces journaux, la vraie peur s’articulerait autour de données particulièrement sensibles dérobées par l’espionnage russe à la NSA. L’opération aurait été rendue possible après qu’un sous-traitant de l’agence américaine eut ramené chez lui – brisant le protocole de sécurité – ces données pour les placer dans son ordinateur personnel… protégé par Kaspersky. C’est de cette manière que le FSB aurait appris l’existence de ces fichiers.

Un point nié par Eugene Kaspersky cependant, car les données ne seraient envoyées vers les serveurs de l'éditeur qu'en cas de détection d'un malware, à des fins d'analyse. Et quand bien même des données sensibles seraient envoyées, la politique serait stricte : « S’il y a la moindre information classifiée, de quelque pays que ce soit, qui a été envoyée dans le cloud, cette information est supprimée » assure le fondateur et PDG.

Crise de confiance

Kaspersky peut-il restaurer la confiance avec cette approche sur plusieurs créneaux ? Rien d’impossible, mais la route sera longue. L’imbroglio dépasse largement les frontières d’une simple défaveur : l’éditeur russe clame haut et fort qu’il est une victime d’un conflit géopolitique qui le dépasse.

Par ailleurs, l’inspection du code et les centres de transparence sont des mesures importantes mais qui, dans l’absolu, n’apporteront jamais de preuves irréfutables. Comme toujours avec un code source fermé, il n’existe pas de garantie que celui montré est bien celui commercialisé.

L’affaire est dans tous les cas intéressante, car révélatrice d’un domaine particulièrement opaque : celui des antivirus. Elle montre également un Kaspersky fébrile dévoilant un programme complet qui, sans nier l’importance des éléments annoncés, aurait pu être mis en place depuis bien des années. Dommage qu’il ait fallu attendre une telle crise pour que des pratiques de transparence soient instaurées.

Ironie de cet automne 2017, Kaspersky va proposer un droit de regard sur son code source pour les gouvernements, alors que Symantec l’a justement supprimé il y a deux semaines. Interrogée par Reuters, l’entreprise américaine arguait alors que les clauses menaçaient l’intégrité de ses solutions.


chargement
Chargement des commentaires...