L’administration Trump a donné l’ordre de purger le gouvernement américain et ses agences des produits Kaspersky.

Trois mois après la General Services Administration, qui a été la première à prendre cette décision, le ministère américain de la Sécurité intérieure (DHS ou Department of Homeland Security) a publié une directive aux agences et organismes fédéraux leur ordonnant d'identifier les produits Kaspersky présents sur leurs systèmes d'information dans les 30 jours et de commencer à cesser de les utiliser dans les 90 jours.

Rob Joyce, le coordonnateur de la cybersécurité à la Maison Blanche, a déclaré que la décision de l'administration Trump d’écarter Kaspersky Lab des organismes fédéraux est « fondée sur le risque ». Il a ainsi commenté à Reuters : « Comme nous avons évalué la technologie (de Kaspersky), nous avons décidé qu'elle était un risque que nous ne pouvions pas accepter. »

Menace russe sur le cyber-espace américain

Cette décision est une réponse à ce que les agences de renseignements américaines décrivent comme une menace pour la sécurité nationale posée par la Russie dans le cyber-espace. Les produits Kaspersky sont considérés comme vulnérables à l’influence du Kremlin, et donc une faille dans la cybersécurité de l’administration américaine.

Elaine Duke, directrice du DHS, a pour sa part déclaré que « Le ministère est préoccupé par les liens entre certains responsables de Kaspersky et les renseignements russes et d'autres organismes gouvernementaux, et les exigences qui en vertu de la législation russe permettent aux agences de renseignement russes de demander ou contraindre l'assistance de Kaspersky, et d'intercepter les communications transitant par les réseaux russes. »

« Le risque est que le gouvernement russe, que ce soit agissant seul ou en collaboration avec Kaspersky, pourrait capitaliser sur l'accès fourni par les produits Kaspersky pour compromettre les renseignements fédéraux et des systèmes d'information mettant directement en cause la sécurité nationale des États-Unis. »

Eugène Kaspersky a toujours nié les accusations que son entreprise mènerait de l'espionnage pour le compte du gouvernement russe. Certes, mais dans le même temps il n’a pas caché avoir fréquenté une école du KGB, ni travaillé pour le FSB, une agence de renseignement russe… Dans ces conditions pour l'administration Trump un doute subsiste quant aux pratiques de Kaspersky !

En théorie, la décision de bannir Kaspersky n’aura pas d’effet financier majeur. Si l’éditeur compte 400 millions d’utilisateurs dans le monde, les licences de l’administration américaine se chiffrent seulement en milliers, ce qui ne représente que quelques centaines de milliers de dollars.

Un bannissement à effet boule de neige

Par contre, les solutions de l’éditeurs sont présentes chez beaucoup de produits tiers conçus et commercialisés par d’autres éditeurs, en particulier la base de signatures de virus. Le DHS a indiqué que « tout autre entité qui revendique ses intérêts commerciaux (avec Kaspersky) sera directement touchée et devra soumettre une argumentation écrite ainsi que tout élément de preuve ou des données qui pourraient compenser les préoccupations du gouvernement des Etats-Unis ».  Et là, l’impact de la décision de l’administration Trump pourrait se révéler autrement plus nocive.

La décision, difficile selon Rob Joyce, pourrait également avoir un lourd impact politique. Car en plaçant Kaspersky sur la liste de noire des entreprises étrangères bannies des administrations américaines, Washington pourrait entrainer une réaction du Président russe Vladimir Poutine…

Notons que la décision de l’administration Trumps intervient alors que le Sénat américain s’apprête dans les prochains jours à voter un projet de loi de dépense sur la Défense qui interdira l’usage des outils et services de Kaspersky Lab sur l’ensemble des organismes gouvernementaux et administrations des Etats-Unis, ce qui étendra le bannissement jusque dans les Etats de l’Union. On imagine bien que l’aile droite des représentants américains s’est félicité de la décision !

La réponse de Kaspersky

Nous publions intégralement la réponse de Kaspersky Lab à la décision de bannissement de l’administration américaine :

« Étant donné que Kaspersky Lab n'a pas de liens inappropriés avec tout gouvernement, la société est déçue par la décision du département américain de la Sécurité intérieure, mais est également reconnaissant de l'occasion de fournir des informations supplémentaires à l'agence pour confirmer que ces allégations sont totalement infondées.

Jusqu’à présent aucune preuve crédible n’a été publiquement présentée par une personne ou une organisation, et les accusations sont fondées sur de fausses allégations et des hypothèses inexactes, y compris les réclamations concernant l'impact des règlements et des politiques russes sur la société. Kaspersky Lab a toujours reconnu qu'il fournit des produits et des services appropriés aux gouvernements du monde entier pour protéger les organisations de cybermenaces, mais il n'a pas de liens contraires à l'éthique ou affiliations avec tout gouvernement, y compris la Russie.

En outre, plus de 85% de son chiffre d'affaires provient de l'extérieur de la Russie, ce qui démontre que travailler de façon inappropriée avec tout gouvernement serait préjudiciable à la rentabilité de l'entreprise. Ces accusations en cours ne tiennent pas non plus compte du fait que Kaspersky Lab a une histoire de 20 ans dans l'industrie de la sécurité informatique et a toujours respecté l’éthique des plus hautes pratiques commerciales et le développement technologique digne de confiance.

En ce qui concerne les politiques et les lois russes, elles sont mal interprétées, les lois et les outils en question sont applicables aux entreprises de télécommunications et aux fournisseurs de services Internet, et contrairement aux rapports inexacts, Kaspersky Lab n’est pas soumis à ces lois ou d'autres outils gouvernementaux, y compris le système d'enquête et de mesures opérationnelles en Russie SORM (System of Operative-Investigative Measures), puisque la société ne fournit pas de services de communication. En outre, il est important de noter que les informations reçues par la société, ainsi que le trafic, sont protégés conformément aux exigences légales et aux normes rigoureuses de l'industrie, y compris le cryptage, les certificats numériques et plus encore.

Kaspersky Lab n'a jamais aidé, ni aidera, aucun gouvernement dans le monde dans son cyber-espionnage ou ses efforts de cyber-offensive, et il est déconcertant qu'une entreprise privée peut être considérée comme coupable en raison de problèmes géopolitiques. La société se réjouit de travailler avec la DHS, Kaspersky Lab croit ardemment qu'un examen plus approfondi de la société prouvera que ces allégations sont sans fondement. »

Image d’entête 503535974 @ iStock JJPan