L’affaire agite le monde du cyber et de la sécurité informatique. Les médias et les autorités américaines accusent la société Kaspersky Lab d’être un vecteur de cyber espionnage de la Russie. Faisons le point.
Au départ, c’est le Wall Street Journal qui a révélé l’affaire au grand public. En effet, le journal a sorti le 5 octobre dernier une enquête accusant le Kremlin d’avoir subtilisé à un américain des données « très sensibles ». Si l’affaire fait grand bruit c’est sans doute parce que la victime travaille pour un groupe de la NSA (Agence National de Sécurité) qui développe des outils de piratage.
L’employé de la NSA en question aurait amené chez lui son ordinateur professionnel dans lequel étaient stockées des données classifiées. A un moment, l’antivirus Kaspersky installé sur son PC a détecté un logiciel suspect qui a immédiatement été transféré pour analyse à l’éditeur russe. Cette action aurait ensuite directement alerté les services secrets russes sur la présence dans l’ordinateur de documents et données sensibles appartenant à la NSA. Il ne reste plus qu’aux agents russes de pirater l’ordinateur et de voler ses données si précieuses.
Le 10 octobre, c’est au tour des non moins prestigieux New York Times et Washington Post d’apporter de nouveaux éléments sur cette affaire. Les autorités américaines ont été prévenues de ce piratage par les services israéliens. Les journalistes révèlent qu’en 2014, des hackers israéliens auraient infiltré le réseau de Kaspersky Lab et auraient identifiés des cyber espions du Kremlin. Quelques mois plus tard, les agents israéliens auraient aperçu des documents confidentiels appartenant sans nul doute à la NSA. L’alerte aurait été ensuite donnée et les américains mis au courant.
Des certitudes…
La crainte fondée sur l’utilisation de logiciels de Kaspersky paraît totalement justifiée. La présence d’une porte dérobée dans un antivirus est somme toute assez logique. De par ses fonctionnalités, un antivirus alerte l’éditeur lorsqu’il détecte un fichier malveillant. Une copie de celui-ci peut même être transmise pour analyses plus fines. Un antivirus agit donc comme une porte dérobée installée avec le consentement de l’utilisateur.
Un tel logiciel pourrait aisément être détourné pour trouver autres choses que des malwares. Le Washington Post rapporte que la société Kaspersky disposerait d’un outil discret qui permettrait de chercher des données sur les ordinateurs en utilisant des mots-clés. Un moteur de recherche pour espion en somme. Le dépôt d’un brevet par l’éditeur russe en 2010 concernant une fonctionnalité nommée « Silent Signatures » semble apporter le début d’une réponse.
Mais c’est aussi la personnalité du fondateur de cette société, Eugène Karpersky qui pose problème. Eminent mathématicien, diplômé en 1987 de la faculté de mathématiques de la Haute Ecole du KGB (renommé en 1992 Institut de cryptographie, de télécommunications et d’informatique de l’Académie du FSB) où il étudie notamment la cryptographie, le pedigree d’Eugène Karpersky est troublant. Une enquête de Wired avance qu’il a gardé de très nombreux liens avec les services de sécurité russes.
Aujourd’hui, il continue de clamer son indépendance vis-à-vis du Kremlin. En Août 2017, sur son blog, Eugène Karpersky écrivait : « Nous n’avons aidé, et n’aiderons jamais aucun gouvernement au monde dans leurs efforts de cyberespionnage. […] J’ai remarqué que toutes ses attaques ont quelques éléments en commun, y compris : une absence totale de preuve, des pures spéculations, des hypothèses rapportées comme des faits irréfutables… »
… Et des doutes
Sur le papier, cette affaire d’espionnage relance automatiquement les diatribes antirusses côté américain. Pourtant, des questions laissées en suspens par les médias américains dans l’affaire Kaspersky sème le doute.
La question qui laisse de marbre les analystes est celle-ci : pourquoi un employé de la NSA a ramené son ordinateur professionnel chez lui ? Pour Bruce Schneier, spécialiste en cryptographie, « ceux qui ont une habilitation de sécurité savent pertinemment qu’ils ne doivent pas emporter des documents classifiés chez eux ».
Le bannissement de l’éditeur russe par les agences fédérales américaines ne trouve pas écho de l’autre côté de l’atlantique. En France, l’utilisation de Kaspersky est très répandue dans l’administration française. Guillaume Poupard lors des Assises de la sécurité des systèmes d’informations, le 11 octobre, a fait comprendre que l’Anssi (Agence nationale de sécurité des systèmes d’information) n’a émis pour l’heure aucune alerte bien qu’il ne recommande pas sa mise en place sur certains réseaux jugés sensibles. L’armée française a, quant à elle, réduit sa dépendance à l’égard de l’éditeur russe.
Côté allemand, même tableau. L’homologue de l’Anssi, le BSI, a publié un communiqué qui souligne « un manque d’éléments et de preuves » concernant cette affaire.
Une guerre froide 2.0 ?
Le cas Kaspersky met en perspective une escalade des tensions entre la Russie et les Etats-Unis. Rappelons que les relations entre les deux puissances n’étaient déjà pas au beau fixe. Le vol des emails du Parti démocrate et du directeur de campagne d’Hillary Clinton, John Podesta, pendant les dernières élections américaines, par des hackers soupçonnés d’être russes ont porté au firmament des soupçons d’une « Guerre froide numérique » qui se jouerait actuellement. Pour le directeur général de Kaspersky Lab France, Tanguy de Coatpont, « Kaspersky est une victime collatérale de la dégradation des relations entre les USA et la Russie ».
Mais outre l’aspect géopolitique, espérons que cette affaire amplifie et approfondit le débat sur la souveraineté numérique alors que la directive européenne sur la cybersécurité, dite directive NIS, doit être transposée dans le droit français courant 2018.
Avec l’utilisation toujours plus accrue dans les organisations françaises de logiciels produits par des puissances étrangères, le cas Kaspersky devrait ainsi faire réagir bon nombre de dirigeants sur les risques d’espionnage et d’ingérence encourus.
Valentin Couderc