La note de l’ANSSI publiée le 2 mars dernier conseillant aux entités françaises utilisant « certains outils numériques [ – sous-entendu d’éditeurs russes – ], notamment les outils de la société Kaspersky », d’envisager à moyen-terme, « une stratégie de diversification de leurs solutions de cybersécurité », suscite beaucoup de questions et de réactions de la part des clients et partenaires qui se demandent s’ils peuvent continuer à utiliser sans risque les antivirus de l’éditeur.
l’ANSSI s’inquiétait notamment que « l’isolement de la Russie sur la scène internationale affecte – à terme – sa capacité à fournir des mises à jour de ses produits et services ». En réponse, Kaspersky a assuré dans un communiqué publié ce jour qu’il « garanti[ssait] le respect de ses obligations envers ses partenaires et ses clients – y compris la livraison des produits et l’assistance ».
Si l’ANSSI est resté prudent dans sa formulation, la presse anglo-saxonne n’a pas manqué de rappeler les liens supposés de Kaspersky avec les services secrets russes. Le fait est que le fondateur et patron de l’entreprise, Eugene Kaspersky (photo), est diplômé de l’école supérieure du KGB et qu’il a ensuite travaillé comme ingénieur logiciel pour le service de renseignement militaire soviétique, pointe Lemedia 05.
De son côté, ZDnet rappelle que Kaspersky maintient son siège international ainsi que d’importantes capacités de R&D en Russie, même si son principal centre de R&D a été transféré en Israël en 2017. Et Eugene Kaspersky a confirmé sur son blog il y a quelques années qu’il coopérait autant avec le FSB (successeur du KGB) qu’avec et les services de renseignement étasuniens ou européens en matière de sécurité. Et même s’il s’en défend, beaucoup pensent que l’intéressé a des liens personnels étroits avec le gouvernement de Poutine.
Beaucoup reprochent également à Eugene Kaspersky la tiédeur de sa prise de position sur l’Ukraine. Le 1er mars il a twitté qu’il « se félicit[ait] du début des négociations visant à résoudre la situation actuelle en Ukraine et espér[ait] qu’elles aboutiront à une cessation des hostilités et à un compromis. Nous pensons que le dialogue pacifique est le seul instrument possible pour résoudre les conflits. La guerre n’est bonne pour personne ». Une déclaration tout ce qu’il y a de plus neutre dans laquelle il se garde bien de citer la Russie.
Jeudi, nous avons contacté une douzaine de partenaires (ou anciens partenaires) de l’éditeur pour connaître leur position sur le dossier. La réaction la plus communément partagée est une forme de prise de distance avec l’éditeur :
François Leroy, directeur général du MSP Envoliis explique ainsi que son entreprise avait déjà pris la décision de changer de partenaire antivirus en 2017 lorsque l’administration Trump avait promulgué une loi interdisant l’utilisation de Kaspersky au sein du gouvernement américain, estimant que le logiciel de la société représentait un « risque grave » pour la sécurité nationale des États-Unis. Il précise qu’il lui reste actuellement deux clients qui sont encore Kaspersky dont l’un s’est manifesté aujourd’hui même pour un budget de migration. Et de conclure « même si je crois que l’avertissement [de l’ANSSI] n’est basé sur aucun fait objectif, le principe de précaution vaut dans ce cas et ce contexte ». Une réaction représentative de plusieurs de celles que nous avons reçues.
« Tous ces événements ont forcément des répercussions sur le business de la sécurité, estime Odette Amann de la société de services et de distribution seine-et-marnaise OGI – qui n’a pas de partenariat avec Kaspersky. En général, les clients étant protégés par les produits Kaspersky ne se rendent pas compte qu’ils ont un lien indirect avec la Russie. Mais si l’information se répandait, ce serait un peu la panique. » Pour elle, il n’y a pas lieu de s’inquiéter tant qu’il s’agit de petites sociétés mais le cas des administrations et des grosses sociétés ayant choisi Kaspersky lui paraît plus problématique.
Pour Nicolas Leroy-Fleuriot, président de Cheops technology, partenaire proche de Kaspersky : « l’ANSSI joue son rôle de sensibilisation. Ils précisent bien qu’ »à ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis ». Ils ne demandent pas de désinstaller ou de boycotter Kaspersky ».
Il note que ce n’est pas la première fois que Kaspersky est confronté à ce type de situation. La dernière fois, c’était fin 2019 lorsqu’Eugène Kaspersky « avait déjà pris la décision de migrer ses activités sur des datacenters suisses et de délocaliser ses bureaux de R&D à Zurich. Donc en synthèse, j’aurais tendance à dire qu’aujourd’hui Kaspersky est un antivirus suisse. » Mais, hasard du calendrier, suite à la finalisation de son POC EDR, Cheops Technology va entamer une migration, d’ici quelques mois, de la solution Kaspersky vers la solution Trend Micro.