En Allemagne, l’agence chargée de la cybersécurité affiche une méfiance inédite envers Kaspersky. Le logiciel antivirus d’origine russe pourrait servir à des attaques informatiques. Son remplacement doit être envisagé.

C’est un coup dur pour Kaspersky. L’éditeur russe du célèbre antivirus vient de faire l’objet d’un avis défavorable du BSI, ce mardi 15 mars. Le BSI est chargé en Allemagne de la sécurité des systèmes d’information. Elle équivaut en France à l’Anssi (Agence nationale de la sécurité des systèmes d’information), qui assure la cyberdéfense des opérateurs d’importance vitale.

Le BSI « met en garde contre l’utilisation des logiciels antivirus de l’éditeur russe Kaspersky. Le BSI recommande de remplacer les applications du portefeuille de logiciels antivirus de l’entreprise Kaspersky par des produits alternatifs », peut-on lire dès l’introduction de la note. Celle-ci ne mentionne pas d’incident particulier, mais dresse le panorama des risques.

Le contexte géopolitique incite à une certaine méfiance : le BSI fait observer que la Russie s’est montrée menaçante contre l’OTAN et l’Union européenne, qui sont deux organisations auxquelles appartient l’Allemagne, ces dernières semaines. Moscou a aussi adressé des mises en garde, y compris à Berlin, compte tenu des sanctions qui ont été prises et du soutien adressé à Kiev.

Ukraine
La guerre lancée par la Russie contre l’Ukraine, et l’appui de l’Occident à Kiev, soulève un risque de représailles cyber. // Source : Montage Numerama

La menace d’une cyberattaque plane donc, avec ou sans l’appui de Kaspersky. « Un fabricant informatique russe peut lui-même mener des opérations offensives, être contraint d’attaquer des systèmes cibles contre sa volonté, ou être lui-même victime d’une cyber-opération à son insu, espionné ou utilisé comme outil pour attaquer ses propres clients », note le BSI.

La prise de position formulée par l’agence allemande est remarquable, car elle traduit de toute évidence un changement de ton et d’appréciation par rapport à ces précédentes analyses. On se souvient qu’en 2017, elle considérait avec beaucoup de prudence les accusations selon lesquelles Kaspersky aurait servi de cheval de Troie pour dérober des outils de la NSA.

Le BSI n’appelle toutefois pas à une désinstallation immédiate des logiciels de Kaspersky — en particulier si aucune solution de repli n’est prévue au préalable. Il serait peut-être pire encore de n’avoir plus aucun logiciel de sécurité dans son système informatique. Le remède serait alors pire que le mal, car on s’exposerait alors à toutes les menaces du net.

Pour le BSI, le mieux reste « de procéder à une évaluation individuelle et de peser le pour et le contre de la situation actuelle ». En somme, l’avis de l’agence allemande est semblable aux recommandations françaises. S’il n’y a pas de menace avérée, il est peut-être temps malgré tout d’envisager une bascule sur une autre solution — de préférence française, européenne ou américaine.

Pour Kaspersky, des craintes infondées

Le point de situation adressé par l’Anssi au sujet de Kaspersky a provoqué au début du mois de mars une réaction officielle de l’entreprise russe, qui a tenu à rappeler entre autres que son réseau de serveurs est dispersé aux quatre coins du monde (Allemagne, Canada, Chine, Suisse…) pour « garantir la continuité des opérations ». Et, donc, des mises à jour.

Les sanctions croisées entre l’Occident et la Russie font craindre qu’une société comme Kaspersky ne puisse plus, à un moment ou à un autre, délivrer ses mises à jour. Mais la société insiste sur le fait que son infrastructure mondiale « permet le fonctionnement ininterrompu » de ses solutions, notamment sa plateforme « qui traite les données liées à la cybersécurité. »

Kaspersky
En France et en Allemagne, l’usage de Kaspersky comme solution antivirus commence à être questionné. // Source : NTNU

« En particulier, les données volontairement transmises […] par les utilisateurs des produits Kaspersky en Europe pour l’analyse automatisée des codes malveillants ne sont envoyées que sur les serveurs dédiés situés en Europe », ajoute la société, qui insiste sur le respect de ses obligations, que ce soit en termes de livraison des produits ou d’assistance.

En somme, Kaspersky estime qu’il « n’est pas affecté » par la situation et que les risques formulés depuis quelques semaines sont davantage causés par des considérations politiques plutôt que par des éléments techniques — en guise de preuve, Kaspersky a proposé par le passé que des experts auscultent son code source, et a déplacé des données de Russie vers la Suisse.

La trajectoire de Kaspersky en Occident est en tout cas très différente de celle que l’on commence à voir émerger chez certains antivirus occidentaux en Russie. Depuis le début de l’invasion de l’Ukraine, des entreprises rivales provenant des pays de l’Europe de l’Est ont annoncé leur retrait de Russie. C’est le cas d’Eset et Avast, deux sociétés réputées dans la cybersécurité.