Les États-Unis étendent leurs restrictions sur Kaspersky. L’antivirus russe est accusé de servir secrètement les intérêts de Moscou. L’éditeur conteste ces allégations.

Les turbulences se poursuivent pour Kaspersky et s’aggravent. L’éditeur russe spécialisé dans la sécurité informatique — il propose notamment un antivirus à son nom — est un peu plus mis sur la touche aux États-Unis. Depuis le 25 mars 2022, la société figure sur une liste noire de la Federal Communications Commission (FCC), le régulateur des télécommunications aux USA.

Il s’agit d’ailleurs de la première entreprise non chinoise à rejoindre cet Index : toutes les autres sont issues de l’Empire du Milieu. On trouve depuis le 12 mars 2021 les sociétés Huawei, ZTE, Hytera, Hikvision et Dahua, auxquelles se sont ajoutées le 25 mars 2022 les compagnies China Mobile, China Telecom (qui sont deux très grands opérateurs) et, donc, Kaspersky.

Kaspersky
Kaspersky se fait exclure un peu plus aux États-Unis. // Source : NTNU

L’exclusion de Kaspersky, rapportée le jour même par Bloomberg, est motivée par des risques de cybersécurité. Par nature, un antivirus est amené à s’insérer profondément dans un système d’exploitation pour en assurer la protection. Dès lors, il peut accéder à des compartiments sensibles et des processus critiques lors de sa chasse aux logiciels malveillants.

Cité par ZDNet, un commissaire de la FCC a déclaré que cette mise à l’écart de Kaspersky « contribuera à sécuriser » les réseaux informatiques américains « contre les menaces posées par les entités soutenues par l’État russe qui cherchent à faire de l’espionnage et à nuire aux intérêts des États-Unis ». La nature exacte des risques n’a pas été explicitée.

La conséquente directe de cette inscription sur liste noire fait que les subventions fédérales ne peuvent plus servir à l’achat d’équipements ou de services venant de Kaspersky. L’éditeur russe n’est pas complètement banni du marché américain (il peut toujours proposer son catalogue aux particuliers et aux entreprises), mais le secteur public le tient à l’écart.

Kaspersky déjà sur liste noire aux USA

Kaspersky fait déjà l’objet d’une quarantaine au niveau des administrations outre-Atlantique, et cela depuis 2017. Déjà à l’époque, la société avait cherché à se défendre face aux accusations selon lesquelles elle roulerait secrètement pour le Kremlin — le vol d’outils de la NSA était à l’époque au centre de la controverse, selon des renseignements israéliens.

Cinq ans après son bannissement des systèmes d’information fédéraux, Kaspersky a de nouveau pris la parole pour dénoncer une décision qui serait fondée uniquement sur des considérations politiques, et non pas sur des éléments techniques concrets. En somme, aucune preuve publique n’a été avancée pour démontrer un quelconque acte répréhensible commis par l’entreprise.

Kaspersky relève d’ailleurs que la décision de la FCC se base sur l’avis rendu en 2017 par le gouvernement américain. Or, comme les bases sur lesquelles il repose n’ont pas été publiées, l’entreprise considère que c’est une « réponse au climat géopolitique plutôt qu’une évaluation complète de l’intégrité des produits et services de Kaspersky. »

NSA QG
En 2017, Kaspersky a été cité comme cheval de Troie ayant permis de dérober des outils techniques à la NSA. // Source : Wikimedia commons

La possibilité d’ausculter le code source avait été l’une des réponses proposées par la société russe pour montrer qu’il n’y avait pas d’inquiétude à avoir. On avait aussi vu émerger d’autres mesures, comme le déplacement du stockage des données de Russie vers la Suisse. La société a aussi mis en avant toutes sortes de certifications indépendantes obtenues au cours des dernières années.

Ces différents gestes n’ont pas suffi. Aujourd’hui, la méfiance tend d’ailleurs à se propager à d’autres pays. On a ainsi vu l’agence de cybersécurité française évoquer la perspective d’un remplacement de l’antivirus russe. En Italie, la Cnil locale a lancé une enquête sur la société à propos des traitements de données de la société russe. En Allemagne, son homologue est sur une trajectoire semblable — ce qui tranche avec son opinion de 2017.

Dans son avis de mars, l’agence allemande disait que Kaspersky peut être un risque, même sans le vouloir : « Un fabricant informatique russe peut lui-même mener des opérations offensives, être contraint d’attaquer des systèmes cibles contre sa volonté, ou être lui-même victime d’une cyber-opération à son insu, espionné ou utilisé comme outil pour attaquer ses propres clients. » Le ton a bien changé.