Kaspersky VS le reste du monde

Petit retour sur les faits récents.

Le feuilleton a commencé il y a plusieurs mois déjà. En septembre dernier, le département de la défense américain imposait à l’ensemble des organismes publiques du pays de retirer de leurs systèmes d’information sous 90 jours, toutes les solutions de sécurité édités par Kaspersky, s’ils en disposaient [1].

Au mois de décembre on apprenait que Kaspersky portait plainte contre l’administration Trump suite à cette interdiction [2], juste après que le gouvernement britannique ait lancé à son tour une alerte indiquant que Kaspersky pourrait réaliser des actions d’espionnage pour le gouvernement Russe et recommandant aux organismes gouvernementaux, ainsi qu’aux « opérateur d’importance vitale » du pays de ne plus utiliser les solutions Kaspersky [3].

Au mois d’avril, Eugene Kaspersky en personne, publiait une lettre ouverte [4] sur le blog de son entreprise exprimant son incompréhension envers le réseau social Twitter, qui lui a tout simplement interdit de continuer à faire de la publicité sur sa plateforme. Il a d’ailleurs précisé que l’intégralité du budget communication réservé à Twitter pour l’année 2018 serait reversé à l’EFF, organisme fervent défenseur des libertés sur Internet.

Mi mai, c’est le gouvernement néerlandais qui prenait la décision d’interdire, toujours pour le même motif, l’utilisation de l’antivi-RUSSE [5].

Le lendemain, Kaspersky annonçait officiellement la migration de ses serveurs, dans un pays qui n’a sûrement pas été choisi au hasard : la Suisse ! Et que les données de ses clients Européens et Nord Américains entre autres, seraient stockées à Zurich [6].

Fin mai, on apprenait que Kaspersky était officiellement débouté de sa demande par le tribunal de Washington, qui insiste sur le fait qu’une entreprise dont le siège social est basé à Moscou, représentait un risque majeur [7].

Dans un texte relatif à la cyberdéfense [8] adopté le 13 juin, le parlement européen demande l’interdiction de Kaspersky aux pays membres de l’Union :

« demande à l’Union de procéder à un examen complet des équipements logiciels, informatiques et de communication, ainsi que des infrastructures utilisées dans les institutions afin d’exclure les programmes et appareils potentiellement dangereux et d’interdire ceux qui ont été confirmés comme malveillants, comme Kaspersky Lab »

Alors comment les choses vont-elles évoluer ?
Les établissements de santé utilisant des solutions Kaspersky vont-ils être obligés de changer de crémerie ?
Qu’en pense notre Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) ?
Un pare-feu français qualifié par l’ANSSI, utilisant le moteur d’analyse antivirale de Kaspersky, devra-t-il changer de partenaire pour conserver sa légitimité ?

Beaucoup de questions restent en suspens et l’ANSSI n’a pas encore communiqué sur ce sujet.
Attendons la suite du feuilleton... 

[1] https://www.federalregister.gov/documents/2017/09/19/2017-19838/national-protection-and-programs-directorate-notification-of-issuance-of-binding-operational

https://www.dhs.gov/news/2017/09/13/dhs-statement-issuance-binding-operational-directive-17-01

[2] https://www.bbc.com/news/business-42405057 

[3] https://www.ncsc.gov.uk/information/letter-permanent-secretaries-regarding-issue-supply-chain-risk-cloud-based-products

[4] https://www.kaspersky.com/blog/ek-on-twitter-ads/22106/

[5] https://www.rijksoverheid.nl/documenten/kamerstukken/2018/05/14/voorzorgsmaatregel-ten-aanzien-van-gebruik-kaspersky-antivirussoftware

[6] https://www.kaspersky.com/about/press-releases/2018_kaspersky-lab-moving-core-infrastructure-to-switzerland

[7] https://www.axios.com/kaspersky-suit-tossed-fed-1527704297-02e8259b-3b81-43c5-9ce4-86a65db63ad0.html

[8] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0258&language=FR