Kaspersky : l’exécutif américain reconnaît l’absence de preuve

Une position minoritaire

Devant les parlementaires, Jeannette Manfra a expliqué que seules six des 102 agences fédérales concernées par l’ordre du DHS de supprimer les outils Kaspersky de leurs systèmes n’avaient pas encore pleinement respecté l’agenda fixé mi-septembre. L’exercice d’inventaire a fait ressortir la présence de ces outils dans seulement 15 % des agences. Et celle-ci serait majoritairement le fait d’installations en bundles. Ce que confirme Renee Wynn pour la Nasa. Certaines agences auraient déjà fait le ménage, mais d’autres attendraient l’aide du DHS, faute de ressources internes.

Pour l’heure, la directive du DHS ne concerne que les produits clairement identifiés Kaspersky. Mais selon Jeannette Manfra, elle pourrait être étendue aux intégrations OEM. Et cela ne vaut pas seulement pour les agences fédérales, mais également pour leurs sous-traitants.

Pas de preuve concluante

Mais qu’est-ce qui pousse le gouvernement américain à cette défiance ? Pas des éléments concrets, semble-t-il à ce stade. Lamar Smith a ainsi demandé à Jeannette Manfra si le DHS a connaissance de brèches sur les systèmes informatiques fédéraux qui auraient pu être au moins facilitées par la présence des logiciels de Kaspersky. Il lui aura fallu insister à plusieurs reprises pour obtenir une réponse d’une Jeannette Manfra manifestement embarrassée. Après avoir cherché à esquiver la question, elle aura finalement reconnu ne pas disposer « d’élément de preuve concluante » en la matière.

Quant aux allégations liées à la fuite de codes de la NSA ? Elle est courant, mais ne dira rien de plus, renvoyant à l’agence du renseignement.

Mais le DoD et le DHS semblent avoir décidé bien avant cette année d’éviter les produits de Kaspersky. Pour l’expliquer, Essye Miller évoque « des flux de renseignement », mais sans développer. Jeannette Manfra estime qu’elle a pu entendre les mêmes choses, autour de son entrée en fonctions, en 2014. Mais encore une fois, rien de plus concret n’a été livré lors de l’audience. Sauf peut-être qu’Essye Miller a indiqué ne pas avoir connaissance de la moindre brèche, au DoD, qui pourrait avoir été liée, d’une manière ou d’une autre, à l’utilisation des produits de Kaspersky.

Une vaste chasse aux sorcières ?

Malgré cela, les vents contraires semblent forts, face à l’éditeur russe. Pour Manfra, l’examen de code source tel que proposé par Kaspersky ne serait pas suffisant à assurer la confiance. Et si l’éditeur a bien répondu par écrit au DHS au sujet de sa directive de septembre, elle ne l’a pas encore lu. Elle évoque une réponse au volume « significatif », tout en se disant dans l’incapacité d’en préciser le nombre de pages, et renvoie à son service juridique où elle serait en cours d’examen.

Mais l’attention des parlementaires va au-delà et Jerry McNerney, élu californien, s’interroge sur l’utilisation d’ArcSight, qui a accepté par le passé que le code de son système de gestion des informations et des événements de sécurité (SIEM) soit examiné pour les autorités russes.

Essye Miller reconnaît qu’il est utilisé au DoD, comme un élément « essentiel dans notre communauté du renseignement ». Pour la Nasa, Renee Wynn est moins sûre. Evoquant une importante transformation de l’architecture de sécurité de l’agence, il indique ne plus se souvenir « s’il en sort ou y entre ». Pour le DHS, Jeannette Manfra est plus affirmative, reconnaissait que le SIEM y est utilisé, tout en évoquant de manière évasive un « processus en cours » pour « adresser ce changement comme d’autres agences ».