Guerre en Ukraine : l’homologue allemand de l’Anssi alerte sur Kaspersky

L’Office fédéral allemand de la sécurité de l’information (BSI), homologue de l’Agence nationale de la sécurité des systèmes d’information (Anssi), vient de publier une alerte sur l’utilisation des produits et services de Kaspersky. Sans ambages, il en recommande le remplacement.

Pour le BSI, tout tient aux spécificités des logiciels de protection des serveurs et postes de travail : ceux-ci, « ainsi que les services cloud temps réel associés, ont des permissions système étendues et doivent maintenir une connexion permanente, chiffrée et non vérifiable aux serveurs du fournisseur », ne serait-ce que pour recevoir des mises à jour.

Pour l’Office fédéral, dans le contexte géopolitique actuel, « un fournisseur IT russe peut conduire des opérations offensives lui-même, être forcé à attaquer des systèmes cibles contre sa volonté, ou être espionné comme victime d’une opération cyber à son insu, voire détourné pour conduire des attaques contre ses clients ».

Il n’en aura pas fallu plus pour que l’Eintracht de Francfort annonce mettre un terme à son partenariat avec Kaspersky : pour le club de football, le BSI « exprime des doutes sur la fiabilité » de l’éditeur, ce qui rend impossible « un partenariat construit sur la confiance dans ses produits et services ». Dans un communiqué, le PDG du club assure avoir « toujours été clair sur le fait que nous basons la poursuite de notre partenariat avec Kaspersky sur des faits et une attitude, pas sur des nationalités ».

L’alerte du BSI suit une note d’information publiée plus tôt dans laquelle l’Anssi indiquait que « l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie ». L’Agence précisait alors toutefois que, « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ».

Pour l’Anssi, le risque semblait surtout résider dans la capacité de Kaspersky à assurer la continuité de ses services : « l’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie peuvent affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services, et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients ». Pour le BSI, la question semble plutôt celle d’une éventuelle compromission de l’infrastructure de Kaspersky, voire de possible coercition.

Mais en réponse à des questions de la rédaction, l’éditeur a expliqué être « une entreprise internationale enregistrée au Royaume-Uni » avec des serveurs cloud « répartis à travers le monde ». Et de souligner notamment que « l’infrastructure cloud décentralisée de Kaspersky permet le fonctionnement ininterrompu du portefeuille de produits centraux (MDR/KES Cloud, etc.) de Kaspersky et sa livraison aux clients européens via des serveurs basés en Europe ». De son côté, « Kaspersky Lab France, par exemple, opère avec le statut d’EURL, paie ses impôts en France et est intégrée fiscalement à 100 % à Kaspersky Labs Limited, la holding du groupe qui est enregistrée de longue date au Royaume-Uni ».

Dans une déclaration adressée aujourd’hui à la rédaction, Kaspersky indique penser que « cette décision n’est pas basée sur une évaluation technique des produits Kaspersky – que nous avons continuellement défendue au BSI et à travers l’Europe – mais qu’elle repose sans doute sur des considérations politiques ». L’éditeur fait état de sa volonté de travailler « avec le BSI pour clarifier leur décision et les moyens de répondre aux préoccupations du BSI ou d’autres régulateurs ».