Kaspersky & Co : Les politiques demandent une réévaluation des logiciels de sécurité russes

Face à l’attaque armée en cours de la Russie contre l’Ukraine, de nombreuses entreprises et utilisateurs individuels se demandent s’ils peuvent encore utiliser en toute tranquillité sur leurs ordinateurs et les systèmes de leurs clients des produits d’éditeurs russes comme l’antivirus pour Windows ou Mac de Kaspersky Lab. Dans cette affaire, les politiques et les chercheurs recommandent de ne pas jeter le bébé avec l’eau du bain, mais de faire preuve de prudence.

« Même s’il n’y a pas eu jusqu’à présent de raison de mettre en garde contre les produits Kaspersky en Allemagne, la guerre de la Russie contre l’Ukraine, contraire au droit international, a remis en question presque toutes les garanties », a déclaré Jens Zimmermann, porte-parole du groupe parlementaire SPD pour les questions numériques, à heise online. Les nombreuses cyberattaques attribuées à la Russie, notamment contre le Bundestag, sont également « préoccupantes ». Par conséquent, « l’utilisation de certains instruments de sécurité informatique devra être réévaluée ».

Le porte-parole du groupe parlementaire du FDP au Bundestag pour les affaires intérieures, Manuel Höferlin, est du même avis. Selon lui, il doit être clair que les fabricants « ne sont pas compromis de l’extérieur, par exemple par des gouvernements ou des services secrets ». Sur ce point, la guerre menée également dans le cyberespace a « mis un grand point d’interrogation derrière Kaspersky et d’autres entreprises originaires de Russie ». Tant que l’Office fédéral de la sécurité des technologies de l’information (BSI) n’aura pas procédé à un examen approfondi du code source, il comprendra personnellement tous ceux qui sont sceptiques.

La coalition des feux de signalisation a convenu d’accorder une plus grande importance à la sécurité informatique, souligne le politicien du FDP. Cela inclut l’obligation pour tous les services publics de se soumettre régulièrement à des audits de sécurité externes. Cela aura vraisemblablement « des répercussions sur les systèmes et les produits utilisés par les services publics ».

Selon Dennis-Kenji Kipker, spécialiste du droit de l’information à Brême, on a certes reproché par le passé à Kaspersky d’avoir des liens avec les services secrets russes. Mais jusqu’à présent, il n’y a pas eu de preuves concrètes du manque de sécurité des programmes de Kaspersky. Kipker estime qu’il serait erroné de distribuer des « sanctions au hasard » ou « d’exclure l’utilisation de produits Kaspersky en soi et sans réflexion ». Néanmoins, Kipker conseille aux utilisateurs d’envisager à moyen terme de recourir à des alternatives européennes en matière de sécurité informatique, notamment dans le cadre de la souveraineté technologique.

Matthias Schulze, du groupe de recherche sur la politique de sécurité de la Fondation Science et Politique, a indiqué qu’il ne connaissait pas d’études et d’évaluations actuelles sur les logiciels de sécurité russes. Les « cavernes d’Ali Baba » habituelles, selon lesquelles les solutions de protection contre les virus, les logiciels malveillants et l’hameçonnage peuvent lire tout ce qui se passe sur les systèmes via la « protection des terminaux », restent toutefois valables et s’appliquent de manière générale.

Jusqu’à présent, le gouvernement fédéral s’est surtout appuyé sur une « clause anti-espionnage » introduite en 2015 pour l’utilisation de logiciels étrangers par les autorités locales. Selon cette disposition anti-espionnage, les entreprises étrangères assurent qu’elles ne sont pas légalement tenues de transmettre des informations confidentielles aux services de renseignement étrangers. Le ministère fédéral de l’Intérieur (BMI) a toutefois admis en 2018 qu’il n’était « pas possible de prouver que les données personnelles allemandes ou les données des services de sécurité allemands ne sont pas transmises à l’étranger au moyen de logiciels étrangers ».

Jusqu’à la même année, le BSI n’avait reçu qu’un seul mandat pour examiner les programmes correspondants du point de vue de la sécurité informatique et des fonctions possibles de téléphonie à domicile ou d’autres fuites de données. Il s’agissait de Windows 10 de Microsoft, et ce n’est que tardivement que certaines analyses du code source du système d’exploitation ont été effectuées. En ce qui concerne Kaspersky, le BMI avait déclaré en 2018 : « Le BSI ne dispose toujours pas d’informations prouvant une manipulation du logiciel Kaspersky ».

Actuellement, le BMI et le BSI n’ont pas répondu à un questionnaire de heise online demandant si les utilisateurs pouvaient utiliser sans grande crainte des programmes de fabricants russes dans notre pays. Les deux institutions n’ont pas non plus voulu dire s’il y avait eu de nouvelles enquêtes dans ce domaine, si elles considéraient une clause No-Spy comme suffisante et si des sanctions étaient prévues contre les entreprises informatiques russes. Le gouvernement avait déjà déclaré secret les logiciels étrangers concrets utilisés par les autorités de sécurité locales.

« S’appuyer sur une clause « no spy » dans le domaine de l’acquisition de matériel et de logiciels auprès de fournisseurs étrangers, dans la mesure où ceux-ci sont utilisés dans des domaines sensibles en termes de sécurité, est plus que naïf », commente Kipker. Une telle ligne de conduite révèle des « dysfonctionnements considérables » en ce qui concerne la souveraineté technologique et la confiance des gouvernements et des autorités dans des pays tiers peu sûrs.

Les entreprises étrangères ne peuvent guère se soustraire à la législation de leur pays, fait remarquer Kipker. Un contrôle implique donc nécessairement la consultation du code source. Cela devrait d’autant plus s’appliquer à Kaspersky Co. que « la Russie s’est justement fait remarquer à plusieurs reprises par le passé par des mesures dirigées par l’Etat, qui ont notamment compromis les systèmes informatiques de la Confédération ».

Le fait est que le fondateur et directeur de l’entreprise, Eugene Kaspersky, a obtenu en 1987 à Moscou son diplôme de l’école supérieure du KGB, devenue plus tard l’académie du FSB. Il a ensuite travaillé dans un institut de recherche militaire dans le domaine de l’espionnage. Lors d’une interview en 2013, il a confirmé sa coopération avec le FSB et les autorités américaines et européennes en matière de sécurité.

Depuis le début de l’année 2018, Kaspersky Lab permet également aux experts en sécurité des autorités et des organisations autorisées aux États-Unis, en Europe et en Asie d’examiner le code source de ses propres logiciels et des mises à jour dans le cadre d’une « initiative de transparence mondiale ». La même année, l’éditeur a annoncé son intention de stocker et de traiter les données de la plupart des régions du monde en Suisse.

« En tant que prestataire de services technologiques et de cybersécurité, l’entreprise n’est pas en mesure de commenter ou de spéculer sur les développements géopolitiques en dehors de son domaine d’expertise », a déclaré un porte-parole de l’entreprise au magazine américain « Motherboard » en ce qui concerne la guerre en Ukraine. L’équipe de direction mondiale observe la situation de près et est prête à « agir très rapidement si nécessaire ».

Kaspersky n’est pas étranger à cette guerre. Le groupe gère par exemple le domaine mil.ru du ministère russe de la Défense. Celui-ci est inaccessible aux utilisateurs étrangers depuis plus d’une semaine, mais pas en raison d’attaques par déni de service : Des observateurs attentifs ont constaté que le site web avait initialement généré le code d’erreur inhabituel 418.

Il semblerait que l’armée russe ne veuille pas s’exposer en ligne. On aurait pu s’attendre au code d’état HTTP 403 pour « interdit » ou 410 pour « disparu ». La référence 418 provient en fait d’un poisson d’avril de l’Internet Engineering Task Force (IETF) de 1998. Il s’agissait de connecter des cafetières à Internet. Les amateurs de thé devaient recevoir le message d’erreur suivant : « 418 Je suis une théière ». Il semble que Kaspersky ait ainsi déposé dans le nid du ministère de la Défense un « œuf de Pâques » très apprécié des programmeurs.