Pour redorer son blason Kaspersky s'installe en Suisse

Kaspersky poursuit son opération de reconquête d’une confiance écornée par de multiples allégations répétées au cours des derniers mois. L’éditeur avance ainsi dans l’initiative de transparence annoncée à l’automne dernier.

Dans un billet de blog, Eugène Kaspersky explique déplacer une importante partie de son infrastructure en Suisse, à Zurich. C’est là que seront assemblés et compilés les logiciels, mises à jour, et règles de détection des produits de l’éditeur, avant d’être signés « sous la supervision d’un tiers [puis] d’être distribués aux clients ».

Ce n’est pas tout : les serveurs affectés au stockage et au traitement des données remontées par les outils déployés chez ses clients en Europe, en Amérique du Nord, en Australie, au Japon, en Corée du Sud et à Singapour sont en cours d’installation en Suisse. Le déploiement doit s’étendre, à terme, aux clients d’autres pays – dont la liste et le calendrier n’ont pas été précisés. Le stockage des données fera aussi l’objet d’une supervision par un tiers indépendant, dont l’identité n’a pas encore été indiquée, qui aura notamment accès aux journaux d’accès.

En toute logique, c’est donc à Zurich que Kaspersky va ouvrir son premier centre dit de transparence. Là, « partenaires de confiance et parties prenantes de gouvernements » pourront notamment accéder au code source des produits et des services cloud de l’éditeur, mais également consulter la documentation relative aux processus de développement, les outils impliqués, ou encore les bases de données des règles de détection.

Dans son billet de blog, Eugène Kaspersky justifie le choix de la Suisse par la politique de neutralité du pays, ainsi que par sa réglementation « forte » en matière de protection des données. La production logicielle de l’éditeur devra y avoir été entièrement relocalisée d’ici la fin de l’année. Pour l’infrastructure de stockage et de traitement en mode Cloud, il faudra en revanche attendre la fin 2019.

This is probably a good business move. You have a good reputation but being located in a neutral nation can only help to assure your customers and potential new customers. This move is a big job, a big cost. I applaud you for your courage, direction, and energy.

— Ric Fink (@ricfink) May 15, 2018

Sur Twitter, certains ne manquent pas de saluer une initiative qui ne va pas sans un coût important. Mais c’est probablement le prix à payer pour sortir du mélodrame dans lequel est enferré Kaspersky depuis plusieurs mois, aux Etats-Unis, tout d’abord, mais également au Royaume-Uni, en Lituanie ou encore tout récemment aux Pays-Bas et même sur Twitter, qui n’accepte plus ses publicités depuis le début de l’année. Le tout alors même qu’aucune preuve n’a jusqu’ici été avancée à l’encontre de l’éditeur.

Début octobre, Christopher Krebs, sous-secrétaire par intérim de la direction de la protection nationale du DHS, assurait, lors d’une audience parlementaire, que la décision avait été prise « à partir de l’ensemble des indices, dont pour l’essentiel des informations ouvertement disponibles ». Ce qui, on l’imagine, recouvre notamment des allégations dont au moins certaines peuvent sembler manquer de fondement.

Surtout, en novembre dernier, lors d’une autre audience parlementaire, Jeannette Manfra, représentante du ministère, avait concédé, non sans réticence, ne pas disposer « d’élément de preuve concluante » pour étayer les suspicions à l’encontre de Kaspersky.