L’éditeur d’antivirus Kaspersky Lab a été placé, vendredi 25 mars sur la « liste noire » de la Federal Communications Commission (FCC). C’est la première fois qu’une société russe intègre cette liste des fournisseurs considérés comme des « menaces pour la sécurité nationale » des Etats-Unis. La liste visait presque exclusivement des sociétés chinoises, à commencer par Huawei, et elle s’allonge avec l’ajout des filiales de China Telecom et China Mobile aux USA.
La FCC n’a pas motivé sa décision en se référant à l’invasion de l’Ukraine par la Russie ou aux récents avertissements du président Joe Biden de cyberattaques potentielles de la Russie. Brendan Carr, le commissaire de la FCC a commenté en déclarant que ces désignations « aideront à protéger nos réseaux contre les menaces posées par des entités soutenues par l’État chinois et russe qui cherchent à se livrer à l’espionnage et à nuire aux intérêts de l’Amérique. »
Les entreprises placées sur la liste ne peuvent plus vendre, de manière directe ou indirecte, leurs produits ou services aux administrations américaines. Elles ne peuvent non plus bénéficier de subventions fédérales pour des achats. Kaspersky était déjà visé depuis septembre 2017 par une directive interdisant aux entités fédérales et à leurs sous-traitants fédéraux d’utiliser ses produits et services.
Dans sa réponse à l’avis de la FCC, l’éditeur dénonce « une décision non basée sur une évaluation technique mais plutôt prise pour des raisons politiques ». Il considère que les interdictions de 2017 « étaient inconstitutionnelles, fondées sur des allégations non fondées, et dépourvues de toute preuve publique d’actes répréhensibles commis par l’entreprise ». L’éditeur se dit « prêt à coopérer avec les agences gouvernementales américaines pour répondre aux préoccupations de la FCC et de toute autre agence de réglementation. »
Car Kaspersky est également dans le viseur de plusieurs agences en Europe. Le service de cybersécurité allemand (BSI) a encouragé, à la mi-mars, les entreprises utilisant les produits de Kaspersky à changer d’antivirus. L’Agence pour la cybersécurité nationale italienne (ACN) a pour sa part ouvert une enquête sur les « risques potentiels » posés par ses logiciels et cherche notamment à savoir si les données des clients européens sont « transférées hors de l’Union européenne ».
En France, l’ANSSI a adopté jusqu’ici une position plus mesurée. Elle estime que « à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis« . Elle s’interroge toutefois sur la capacité de Kaspersky à se maintenir à l’état de l’art de la cybersécurité à terme et préconise donc « d’envisager à moyen-terme, une stratégie de diversification des solutions de cybersécurité ».