États-Unis : interdiction de la vente de produits et services signés Kaspersky

C’est l’épilogue d’un long bras de fer. Le ministère américain du Commerce vient d’annoncer interdire à Kaspersky de vendre, « directement ou indirectement, des logiciels antivirus ainsi que des produits ou services de cybersécurité aux États-Unis » ou à ses ressortissants. L’interdiction vaut pour l’éditeur lui-même, mais également toutes ses filiales et holdings, voire donc, ses partenaires distributeurs.

Dans un communiqué, le bureau de l’industrie et de la sécurité du ministère justifie sa décision en invoquant « un risque pour la sécurité nationale » lié aux « cybernétiques offensives du gouvernement russe et de sa capacité à influencer ou à diriger les activités de Kaspersky ».

Une page web dédiée dresse l’inventaire des produits et services visés et précise la chronologie : l’interdiction de commercialisation sera effective le 20 juillet à minuit. 

À compter du 29 septembre à minuit, Kaspersky ne sera plus autorisé à fournir de mises à jour – pour ses produits eux-mêmes comme pour leurs bases de signatures – ni à opérer son Kaspersky Security Network – et donc collecter de la télémétrie. À cette échéance également, la revente, l’intégration et la vente de licences seront également interdites. 

Pourquoi attendre, si le risque est imminent ? Pour laisser un peu de temps aux organisations et individus concernés et utilisateurs des produits et services de Kaspersky, indique l’Administration américaine.

Et de préciser que ne sont pas visés les produits et services de Kaspersky concernant le renseignement sur les menaces, la formation, ou encore le conseil et la réponse à incident : « ils sont purement informationnels et éducatifs par nature ».

L’éditeur a réagi dans une déclaration publique, déplorant une décision prise malgré sa proposition d’un « système dans lequel un tiers de confiance évaluerait la sécurité des produits Kaspersky ». Il indique « croire » que cette décision est « basée sur le climat géopolitique actuel et des craintes théoriques ». 

Le bras de fer opposant Kaspersky à Washington n’est pas nouveau. En septembre 2017, le ministère de l’Intérieur américain, le Department of Homeland Security (DHS), a demandé à toutes les administrations publiques des États-Unis de répertorier sous 30 jours leurs déploiements des produits signés Kaspersky et concevoir des projets de remplacement sous deux mois. L’éditeur avait alors estimé être « considéré comme coupable tant qu’il n’a pas prouvé son innocence ». 

Deux mois plus tard, l’exécutif américain concédait une absence de preuve, sans pour autant rétropédaler. Entre-temps, Kaspersky avait pris acte et s’était lancé dans une vaste stratégie de transparence. Ses promesses seront graduellement concrétisées. Mais cela n’empêchera pas le doute de se propager, notamment en Lituanie. 

Début 2022, l’invasion de l’Ukraine par la Russie a ravivé le sujet, l’homologue allemand de l’Agence nationale de la sécurité des systèmes d’information (Anssi), le BSI, recommandant de remplacer les produits Kaspersky. 

Cette recommandation faisait suite à une note d’information publiée plus tôt, dans laquelle l’Anssi indiquait que « l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie ». L’Agence précisait alors toutefois que, « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ».

Ironie de l’histoire, selon Politico, Kaspersky aurait significativement contribué à l’arrestation de l’ancien collaborateur de la NSA accusé d’avoir dérobé des documents sensibles de l’agence du renseignement américaine et de les avoir fait fuiter dans le cadre de l’opération dite des Shadow Brokers.