Tensions russo-occidentales : les services marketing des éditeurs IT dérapent

Malgré l’absence d’élément de preuve contre Kaspersky, plusieurs éditeurs se sont empressés de chercher à exploiter les allégations de collusion du Russe avec le Kremlin. Et au-delà même de son marché.

Entre prudence raisonnable pour certains, et allégations gratuites pour d’autres, Kaspersky doit composer avec d’importants vents contraires outre-Atlantique, mais également en Europe. Et certains éditeurs n’hésitent pas à souffler sur les braises, même en l’absence de preuve concrète. Le doute est peut-être suffisant…

McAfee apparaît là particulièrement agressif : dans les magasins Office Depot et OfficeMax, il s’invite gratuitement en remplacement de la suite Kaspersky Total Security pour les clients, comme vient de le relever Gadi Evron, patron de Cymmetria. Mais l’éditeur avait déjà lancé son offensive fin septembre, de même que Bitdefender

Mais avant cela, Malwarebytes s’était fait remarquer pour une démarche tout aussi agressivement opportuniste. Et qui n’avait pas forcément été bien accueillie par tous. Il en va de même pour Symantec, qui n’a pas manqué, début septembre, de pousser ses produits pour « aider les petites entreprises » à suivre les recommandations du FBI de s’éloigner de Kaspersky. Même chose du côté de Vipre.

Au-delà de l’industrie de la sécurité informatique

Avira n’avait pas même attendu si longtemps, s’engouffrant dans la brèche dès le mois de juillet ! Le patron de l’éditeur a rapidement présenté ses excuses pour une approche qu’il assure ne pas cautionner. 

Pour certains, à commencer par Peter Kruse, du danois CSIS, de tels comportements sont tout simplement honteux. Mais la démarche n’est hélas pas exclusive à quelques concurrents de Kaspersky, peut-être exaspérés par la décision de l’éditeur de rendre son antivirus de base gratuit, en juillet dernier.

Et cela commence par l’allemand NovaStor. Ce dernier, éditeur d’outils de sauvegarde, s’en prend ainsi, dans un courrier adressé à ses partenaires et prospects, aux éditeurs "russes" en général. Il visent en particulier Kaspersky, mais au-delà Veeam et Acronis. Les deux éditeurs ont certes été fondés par des citoyens d'origine russe - respectivement par Ratmir Timashev et Sergei Beloussov. Mais les deux fondateurs ne sont pas connus pour être des suppôts du poutinisme et vivent hors du territoire russe - Beloussov est même citoyen de Singapour. Plus drôle, les deux sociétés sont incorporés en Suisse, respectivement à Baar et Schaffhausen. NovaStor pousse donc l'exercice très loin, quitte à retourner sa veste contre celui qui était présenté comme un partenaire pour une « protection à 100 % des serveurs de fichier Windows » en 2015.

Mais voilà, personne n’est tout parfait. Sur Twitter, certains renvoient aux affirmations de FireEye selon lesquelles le groupe APT32 était parvenu à infiltrer l’infrastructure de McAfee EPO pour « distribuer leur maliciel comme une tâche de déploiement de logiciel ». Ce groupe viserait tout particulièrement l’économie vietnamienne. De quoi renvoyer aux épisodes CCleaner et NotPetya cette année.

La voie de la paranoïa ?

Les tensions entre Russie et Etats-Unis semblent aller au-delà. Ainsi, nos confrères de Reuters ont récemment souligné, intervenants alarmistes à l’appui, que HPE avait laissé Moscou inspecter le code source de son système de gestion des informations et des événements de sécurité (SIEM), ArcSight (désormais passé dans le giron de Micro Focus). Souci ? Il est utilisé par le Pentagone.

Nos confrères rappellent qu’il s’agit là d’une procédure somme toute très classique, nécessaire à l’obtention du sésame ouvrant les portes du secteur public russe. Mais pour rien moins que six personnes interrogées, il s’agit là « d’une vulnérabilité considérable », car, explique Greg Martin, ancien architecte sécurité pour ArcSight, l’éditeur donne là « un accès interne, et des exploits potentiels à un adversaire ». Le scénario imaginé ? Une compromission qui permettrait de s’infiltrer sans générer d’alerte. Mais pour cela, le plus simple serait peut-être encore d’intervenir sur les règles de corrélation… Nul besoin d’accéder au code source pour cela. Et c’est sans compter avec l’accessibilité du code source d’un autre composant clé d’une architecture de détection d’incidents de sécurité : l’IDS/IPS. Et justement, le code source de Snort et de Suricata est librement accessible à tous.

Reste que, vu de Moscou, il s’agit simplement de s’assurer de l’absence de portes dérobées déposées pour ou par le renseignement américain… Et ce n’est pas comme s’il n’existait pas d’importants faisceaux d’indices à l’encontre de la NSA. Cette dernière et son homologue britannique se seraient d’ailleurs intéressés de près aux éditeurs de logiciels de sécurité.

Pour approfondir sur Cyberdéfense

Close