Kaspersky Lab joue la transparence pour répondre à ses détracteurs

Pas évident d’être dans les bottes de Kaspersky par les temps qui courent. L’éditeur russe d’antivirus est sous le feu des critiques suite aux publications du New York Times et du Wall Street Journal, qui ont tous deux raconté la façon dont le renseignement russe est parvenu à s’emparer de documents confidentiels en s’attaquant à l’ordinateur d’un contractant de la NSA. Selon les sources anonymes citées par les deux journaux, les attaquants auraient pu rentrer dans le système de leur cible en exploitant l’antivirus Kaspersky, que celui-ci avait installé sur son ordinateur personnel.

 

Ce genre d’accusation n’est jamais une bonne nouvelle quand on est un acteur aussi important dans le secteur de la cybersécurité. Aux États Unis, une circulaire avait ainsi été diffusée afin de demander aux administrations de se séparer des produits Kaspersky installés sur les systèmes informatiques. Dans un marché où tout se joue sur la confiance, le coup porté à l’image de Kaspersky dépasse parfois largement le cercle très fermé des administrations et du secret-défense : plusieurs distributeurs américains surfent sur la vague et annoncent des offres pour les clients qui souhaiteraient se débarrasser de leur antivirus Kaspersky. Les chaînes Office Depot et Best Buy ont ainsi annoncé des initiatives en ce sens suite aux révélations du début du mois d’octobre.

Profil bas, mais la tête haute

Dans ce contexte, les dirigeants de Kaspersky France faisaient un peu grise mine dans les couloirs des Assises de la sécurité, qui se déroulaient à Monaco au début du mois. « Forcement, c’est un peu le feuilleton ces derniers temps, on se réveille chaque matin pour voir ce qui va nous tomber dessus » nous souffle-t-on entre deux interviews. Pour Tanguy de Coatpont, directeur général de Kaspersky France, la ligne de conduite est très claire : « Notre perception, c’est que ça vire un peu à la campagne de dénigrement. » Tanguy de Coatpont rappelle les différentes critiques déjà formulées par Eugène Kaspersky sur son blog : les articles qui accusent Kaspersky s’appuient principalement sur des témoignages de sources anonymes et le contexte de tensions géopolitiques entre les États Unis et la Russie fait de Kaspersky Labs une cible toute désignée pour ce type d’accusations.

« On est peut-être également victime de certaines publications de nos chercheurs, qui font partie des premiers à avoir analysé les activités de groupes tels que Duqu et Equation » poursuit le dirigeant. Ces deux groupes sont respectivement associés au renseignement israélien et à la NSA, une attribution que les chercheurs se refusent à avancer clairement, mais qui transparaît des rapports publiés par Kaspersky lab à ce sujet. Un retour de bâton géopolitique qui pourrait faire particulièrement mal à Kaspersky « Il faut quand même rappeler que l’essentiel de notre chiffre d’affaires se fait à l’international, Kaspersky ne fait que 15% de son chiffre sur le territoire russe. Si on perd la confiance de nos clients, c’est fini » rappelle ainsi Tanguy de Coatpont, qui souligne que Kaspersky n’a aucun intérêt à jouer la tête de pont des renseignements russe, sous peine de foncer droit dans le mur.


Le phénomène reste pour l’instant très américain, mais les rumeurs ne connaissent pas les frontières et Kaspersky France doit aussi batailler pour éteindre les feux allumés outre Atlantique. « Nos clients nous posent des questions. Mais c’est bien normal et j’ai envie de dire que le contraire aurait été étrange » explique Tanguy de Coatpont. Mais le directeur général assure que l’effet ne s’est pas ressenti sur les chiffres de Kaspersky France. La ligne reste la même lorsque nous évoquons les appels d’offres de l’armée française : selon l’Express, Kaspersky aurait été tenu à l’écart de plusieurs appels d’offres passés par le ministère des armées. Le dirigeant de Kaspersky France dément formellement les informations du magazine. « Pour l’instant, toute cette affaire est un bruit négatif qui n’a pas eu d’effet sensible sur notre activité en France. Mais nous n’avons pas perdu d’appel d’offre » résumé Tanguy de Coatpont. Le dirigeant se veut rassurant, mais le doute jeté par les publications du New York Times et du Wall Street Journal sera difficile à effacer.

Rien dans les manches, rien dans le code source

Pour se sortir de l’impasse, Kaspersky est néanmoins prêt à jouer cartes sur table. Ce matin, la société annonce le lancement d’une initiative de transparence visant à rassurer les clients inquiets de potentielles backdoors déployées au sein des produits Kaspersky. « Nous sommes tout à fait prêts à ouvrir le code source afin de prouver notre bonne foi », expliquait Tanguy de Coatpont lors des Assises. « Simplement cela sera fait selon nos conditions, afin d’éviter tout vol du code source » ajoute le dirigeant. On sait aujourd’hui un peu mieux ce que sont les « conditions » de Kaspersky : l’éditeur commencera par une revue de son code source par un organisme indépendant et reconnu, qui débutera en 2018. En parallèle de cette relecture, Kaspersky ouvrira trois « centres de transparence » dans les années à venir, en Europe, aux États unis et en Asie. Outre l’accès au code source, Kaspersky annonce également une review menée en interne et une hausse des récompenses offertes pour son bug bounty. Dans une interview donnée au Monde.fr aujourd’hui, Eugène Kaspersky revient sur ce programme et annonce que le futur centre de transparence européen sera situé en Allemagne, mais précise également que Kaspersky a deja montré son code source aux autorités brésiliennes dans le courant du mois d’aout.

Dans le cadre des initiatives plus franco-françaises, Kaspersky a annoncé récemment à nos confrères de NextInpact avoir entrepris le processus de certification de l’Anssi pour ses produits, sésame incontournable pour accéder au marché des opérateurs d’importance vitale. Si la certification est accordée, ça sera doublement précieux pour l’éditeur : d’une part cela témoigne d’une certaine confiance de l’Anssi, et d’autre part cela ferait de Kaspersky l’un des premiers antivirus certifiés par l’Anssi, l’agence n’ayant pour l’instant délivré aucune certification pour ce type de logiciel. Interrogé sur ce sujet lors de sa conférence des Assises, Guillaume Poupard restait extrêmement prudent sur ce sujet « Il n’y a pas d’interdiction à l’encontre de tel ou tel antivirus. Simplement il convient de savoir où est-ce qu’on les utilise et dans quels cas de figure » résume le directeur de l’Agence de Sécurité des Systèmes d’Information.

Kaspersky veut redorer son blason


L’éditeur antivirus veut donc jouer la carte de la transparence, pour faire front face aux « sources anonymes » fustigées par le fondateur Eugène Kaspersky dans ses articles de blog. Avec pour objectif final de faire taire les rumeurs qui évoquent des liens entre Kaspersky et le renseignement russe. La tâche n’a rien d’aisé et l’ouverture du code pourrait ne pas être suffisante pour prouver de manière irréfutable l’innocence de l’éditeur. Comme le faisaient remarquer beaucoup de chercheurs, il n’y a rien d’anormal au fait que le logiciel de Kaspersky détecte la présence de malwares, gouvernementaux ou non, sur la machine de l’utilisateur. Il n’y a rien non plus d’anormal à ce que les samples des malwares détectés soient envoyés vers les serveurs de Kaspersky pour analyse. Le code source des logiciels de Kaspersky se comporte ici exactement comme prévu : la seule question qui vaille est de savoir comment le renseignement russe est parvenu à mettre la main sur ces informations et si Kaspersky a sciemment ouvert aux agents du renseignement l’accès à ses données ou si cela s’est fait sans la moindre collaboration entre les entités.

Cette question ne trouvera peut être jamais de réponse tant ces affaires sont généralement étouffées, car prises en étau entre le poids du secret des affaires et celui du secret-défense. La seule conclusion solide que l’on puisse en tirer et que Eugène Kaspersky répète à l’envi sur son blog, c’est que les contractants de la NSA devraient peut-être y réfléchir à deux fois avant de ramener des armes informatiques gouvernementales sur un ordinateur personnel équipé d’un antivirus basé sur l’analyse dans le cloud. Hors de ce cas de figure, assez spécifique on l’admet, les antivirus sont généralement des logiciels respectables.

ZDNet