adamparent - Fotolia
Kaspersky : l’exécutif américain reconnaît l’absence de preuve
Dans le cadre d’une audience parlementaire, une représentant du ministère américain de l’Intérieur, Jeannette Manfra, a concédé ne pas avoir de preuve concluante contre les logiciels de l’éditeur russe.
Pour Lamar Smith, député conservateur du Texas, qui préside la commission parlementaire aux Sciences, à l’Espace et aux Technologies, cela ne fait pas de doute : Kaspersky représente une menace qui doit être « éliminée » des « systèmes de sécurité nationaux » des Etats-Unis. Pourtant, les éléments concrets apparaissent limités pour étayer les allégations répétées dont l’éditeur russe est la cible depuis plusieurs mois.
Jeannette Manfra, secrétaire assistante aux Communications et à la cybersécurité, au sein de la direction de la protection et des programmes nationaux du ministère américain de l’Intérieur (Department of Homeland Security, DHS) témoignait ainsi hier devant la sous-commission de supervision de la commission présidée par Lamar Smith. Elle s’exprimait aux côtés, notamment, de Renee Wynn, DSI de la Nasa, et d’Essye Miller, RSSI adjointe en charge de la cybersécurité au ministère américain de la Défense (Department of Defense, DoD).
Une position minoritaire
Devant les parlementaires, Jeannette Manfra a expliqué que seules six des 102 agences fédérales concernées par l’ordre du DHS de supprimer les outils Kaspersky de leurs systèmes n’avaient pas encore pleinement respecté l’agenda fixé mi-septembre. L’exercice d’inventaire a fait ressortir la présence de ces outils dans seulement 15 % des agences. Et celle-ci serait majoritairement le fait d’installations en bundles. Ce que confirme Renee Wynn pour la Nasa. Certaines agences auraient déjà fait le ménage, mais d’autres attendraient l’aide du DHS, faute de ressources internes.
Pour l’heure, la directive du DHS ne concerne que les produits clairement identifiés Kaspersky. Mais selon Jeannette Manfra, elle pourrait être étendue aux intégrations OEM. Et cela ne vaut pas seulement pour les agences fédérales, mais également pour leurs sous-traitants.
Pas de preuve concluante
Mais qu’est-ce qui pousse le gouvernement américain à cette défiance ? Pas des éléments concrets, semble-t-il à ce stade. Lamar Smith a ainsi demandé à Jeannette Manfra si le DHS a connaissance de brèches sur les systèmes informatiques fédéraux qui auraient pu être au moins facilitées par la présence des logiciels de Kaspersky. Il lui aura fallu insister à plusieurs reprises pour obtenir une réponse d’une Jeannette Manfra manifestement embarrassée. Après avoir cherché à esquiver la question, elle aura finalement reconnu ne pas disposer « d’élément de preuve concluante » en la matière.
Quant aux allégations liées à la fuite de codes de la NSA ? Elle est courant, mais ne dira rien de plus, renvoyant à l’agence du renseignement.
Mais le DoD et le DHS semblent avoir décidé bien avant cette année d’éviter les produits de Kaspersky. Pour l’expliquer, Essye Miller évoque « des flux de renseignement », mais sans développer. Jeannette Manfra estime qu’elle a pu entendre les mêmes choses, autour de son entrée en fonctions, en 2014. Mais encore une fois, rien de plus concret n’a été livré lors de l’audience. Sauf peut-être qu’Essye Miller a indiqué ne pas avoir connaissance de la moindre brèche, au DoD, qui pourrait avoir été liée, d’une manière ou d’une autre, à l’utilisation des produits de Kaspersky.
Une vaste chasse aux sorcières ?
Malgré cela, les vents contraires semblent forts, face à l’éditeur russe. Pour Manfra, l’examen de code source tel que proposé par Kaspersky ne serait pas suffisant à assurer la confiance. Et si l’éditeur a bien répondu par écrit au DHS au sujet de sa directive de septembre, elle ne l’a pas encore lu. Elle évoque une réponse au volume « significatif », tout en se disant dans l’incapacité d’en préciser le nombre de pages, et renvoie à son service juridique où elle serait en cours d’examen.
Mais l’attention des parlementaires va au-delà et Jerry McNerney, élu californien, s’interroge sur l’utilisation d’ArcSight, qui a accepté par le passé que le code de son système de gestion des informations et des événements de sécurité (SIEM) soit examiné pour les autorités russes.
Essye Miller reconnaît qu’il est utilisé au DoD, comme un élément « essentiel dans notre communauté du renseignement ». Pour la Nasa, Renee Wynn est moins sûre. Evoquant une importante transformation de l’architecture de sécurité de l’agence, il indique ne plus se souvenir « s’il en sort ou y entre ». Pour le DHS, Jeannette Manfra est plus affirmative, reconnaissait que le SIEM y est utilisé, tout en évoquant de manière évasive un « processus en cours » pour « adresser ce changement comme d’autres agences ».