Depuis le 24 février 2022, notre monde est différent. Dans la nuit de ce jour-là, des soldats russes ont envahi la frontière avec l’Ukraine et ont déclenché une terrible guerre d’agression qui dure depuis maintenant deux semaines. Avec la guerre en Ukraine, le président Vladimir Poutine n’est pas le seul à se présenter sous un tout nouveau jour, montrant son vrai visage. Les autres organes d’État de l’appareil de pouvoir russe doivent désormais également être vus avec un regard différent. La question de la cybersécurité joue notamment un rôle majeur. C’est pourquoi les responsables politiques exigent de plus en plus que les logiciels de sécurité fabriqués en Russie soient complètement réévalués. On soupçonne que des applications telles que le célèbre antivirus Kaspersky pourraient constituer un risque de cyberattaques russes.
De nombreux points d'interrogation
La guerre d’agression menée actuellement par la Russie contre l’Ukraine a des conséquences considérables qui font bouger la politique et la société. Ce phénomène n’est en aucun cas propre aux relations entre la Russie et l’Ukraine, mais touche le monde entier. Enfin, les actions de la Russie ont créé une incertitude générale non seulement à l’égard de l’appareil de pouvoir russe, mais également à l’égard des entreprises russes. Cela est particulièrement vrai pour les logiciels de sécurité tels que l'antivirus du célèbre développeur Kaspersky Lab. Si l’on en croit les déclarations des hommes politiques, les utilisateurs de cette application n’ont pas à s’inquiéter. Il n’y a actuellement aucun problème de sécurité sérieux. Il convient néanmoins d’être prudent, car la situation pourrait évoluer rapidement.
Jens Zimmermann (SPD), député au Bundestag spécialisé dans la politique numérique, l'a notamment souligné auprès de ses collègues de heise online :
«Même s'il n'y a jusqu'à présent aucune raison de mettre en garde contre les produits Kaspersky en Allemagne, la guerre menée par la Russie contre l'Ukraine, qui est contraire au droit international, a remis en question presque toute la sécurité.»
Peut-on faire confiance à Kaspersky ?
Apparemment, les autres factions du Bundestag semblent partager l'opinion de Zimmermann. Ainsi, Manuel Höferlin (FDP), porte-parole pour la politique intérieure du groupe parlementaire du Bundestag, a également clairement indiqué que seules des applications absolument sécurisées devraient réellement être utilisées. Il est notamment nécessaire d'obtenir l'assurance que les développeurs seront
« non compromis de l’extérieur, par exemple par les gouvernements ou les agences de renseignement… »
Vous ne pouvez pas vraiment avoir cette assurance avec les programmes russes pendant ce qui semble être des années. Après tout, le fait que des cyberattaques dirigées depuis le Kremlin contre l’Occident aient toujours été un secret de polichinelle a toujours été un secret de polichinelle. Cela a touché, entre autres, le Bundestag, mais aussi d’autres ministères et autorités de haut rang. En conséquence, a-t-il dit, il était essentiel de
« mettre un gros point d'interrogation derrière Kaspersky et d'autres sociétés originaires de Russie… »
Afin d'obtenir une sécurité appropriée, les candidatures devraient être examinées par des experts pour leur sécurité. C’est là que l’Office fédéral de la sécurité de l’information (BSI) devrait intervenir. En attendant, Höferlin s'en prend à tous les utilisateurs de Kaspersky and Co. qui n'utilisent le logiciel qu'avec mal au ventre.
La sécurité informatique est importante
Étant donné que le problème de la cybersécurité devient également de plus en plus important en Allemagne, la faction gouvernementale autour du SPD, des Verts et du FDP souhaite désormais y attacher davantage d'importance. Un instrument à cet effet pourrait être, par exemple, l'obligation pour les autorités publiques de participer à intervalles réguliers à des formations complémentaires appropriées en matière de sécurité informatique. En outre, selon Höferlin, les éventuels points faibles devraient être identifiés dans le cadre de ce que l'on appelle les audits de sécurité. Ne serait-ce que pour faciliter cette démarche, il serait conseillé d'utiliser un logiciel standardisé. Au vu de la situation actuelle, il est peu probable que Kaspersky soit utilisé.
L’informatique européenne doit devenir autosuffisante
S’il y a une chose que la guerre en Ukraine a montré clairement à nous, Allemands, c’est notre dépendance à l’égard de la Russie. À l’heure actuelle, il suffit de regarder les prix qui montent en flèche sur les pompes à essence pour s’en rendre compte. Lorsque la prochaine facture de chauffage arrivera dans quelques mois, de nombreuses personnes seront sous le choc. Il n'est donc pas surprenant que le ministre allemand de l'Économie et de la Protection du climat, Robert Habeck (Verts), ait souligné la semaine dernière l'importance d'une production énergétique autosuffisante pour l'Allemagne.
Bien que l’indépendance vis-à-vis du pétrole et du gaz russes puisse être très difficile, ne pas s’appuyer sur les logiciels de sécurité russes ne constituera probablement pas un obstacle majeur. L'avocat informatique Dennis-Kenji Kipker de Brême conseille également le développement souverain de logiciels de sécurité. C’est, dit-il, la meilleure voie à suivre. Il serait néanmoins disproportionné à l'heure actuelle
« Pour exclure l'utilisation des produits Kaspersky en soi et de manière irréfléchie. »
Pour cela, selon lui, il manque tout simplement la preuve que les logiciels de sécurité russes servent de passerelle aux cyberattaques russes.
La clause de non-espionnage est pratiquement inutile
Le feu vert vient également de Matthias Schulze, qui travaille à la Stiftung für Wissenschaft und Politik. L’expert en politique de sécurité souligne qu’à l’heure actuelle, aucune machination criminelle de la part de logiciels de sécurité russes n’est connue. En théorie, un acte d’espionnage de la part de Kaspersky Lab ou d’autres éditeurs de logiciels russes aurait également de graves conséquences juridiques. Ceci est garanti par la « clause de non-espionnage », introduite en 2015. En vertu de cette clause, les développeurs de logiciels doivent garantir qu'il n'y a pas de coopération avec un service de renseignement étranger. Cependant, cette assurance est probablement davantage un acte symbolique. Les politiques en sont également bien conscients. En 2018, par exemple, le ministère fédéral de l’Intérieur a lui-même douté de l’efficacité de cette clause.
« …que les données personnelles allemandes ou les données des autorités de sécurité allemandes ne seront pas transférées à l'étranger au moyen de logiciels étrangers… »
est en fait difficile à prouver.
Bien entendu, la difficile traçabilité d’un transfert de données n’est pas la seule à blâmer. De plus, le gouvernement fédéral a négligé de manière criminelle de vérifier les logiciels appropriés jusqu'en 2018. Comme on le sait, le BSI n'avait jusqu'à présent vérifié que la sécurité de Windows 10. Lorsqu'une analyse de Kaspersky a suivi la même année, le verdict a été positif :
« Le BSI n'a toujours aucune découverte prouvant la manipulation du logiciel Kaspersky. »
Questions sans réponse de heise en ligne
Étant donné que de nombreuses questions sur la cybersécurité se posent naturellement dans ce domaine, nos collègues de heise online ont effectué un suivi auprès du ministère de l'Intérieur et du BSI. Jusqu’à présent, il n’y a évidemment aucune réponse à leur vaste catalogue. Comme celles-ci ont un certain caractère explosif et concernent, par exemple, l’efficacité de la « clause de non-espionnage », on peut certainement le comprendre. La question de savoir quel programme les ministères eux-mêmes utilisent a certainement été omise par heise online. Après tout, les programmes sur lesquels s’appuient BMI et BSI sont un grand secret.
La connaissance du code source est sans alternative
L'avocat informatique Kipker considère également que la clause de non-espionnage est pratiquement inutile, appelant à s'y fier
« plus que naïf »
Ce faisant, il précise que si la clause pourrait entraîner des conséquences juridiques pour les entreprises, celles-ci sont aussi généralement obligées envers leur pays d'origine d'agir d'une certaine manière. Dans le cas de Kaspersky, dont le siège est en Russie, il serait certainement préférable que l'entreprise agisse en accord avec l'appareil de pouvoir russe plutôt que de se conformer à la clause de non-espionnage. Après tout, les conséquences de la justice russe risquent d’être bien plus graves. Il est donc d'autant plus important qu'une autorité telle que le BSI soit autorisée à inspecter les codes sources correspondants de tels programmes. Kipker souligne une fois de plus le rôle particulier de la Russie. Après tout, la Russie a attiré l’attention à plusieurs reprises par le passé avec des cyberattaques présumées.
La proximité de Kaspersky avec les renseignements russes
Si l’on jette un coup d’œil à l’histoire de l’entreprise Kaspersky, on se rend vite compte que l’entreprise ne peut en aucun cas nier sa proximité avec les services secrets russes. Le fondateur Eugene Kaspersky est diplômé du KGB – les services secrets de l'Union soviétique à l'époque – à la fin des années 1980. Comme si cela ne suffisait pas, après ses études, il a travaillé dans un institut scientifique spécialisé dans l'espionnage. Néanmoins, Kaspersky nie toujours avec véhémence qu’il soit un instrument du Kremlin.
Au lieu de cela, la société russe semble être un véritable leader dans le domaine des logiciels de sécurité en matière de transparence. En effet, depuis 2018, Kaspersky Lab met ses propres codes sources à la disposition des institutions gouvernementales du monde entier. Cela s'applique également aux mises à jour publiées ultérieurement afin de garantir une sécurité maximale. La soi-disant « initiative mondiale de transparence » est complétée par la localisation du serveur de Kaspersky. En effet, toutes les données collectées doivent être stockées en Suisse – il n’existe guère de pays plus neutre.
Kaspersky ne fait aucune déclaration sur la guerre en Ukraine
Comme beaucoup d’autres sociétés russes de renom, Kaspersky Lab est désormais naturellement prise entre deux feux par de nombreux médias. Par exemple, le magazine « Motherboard » a interrogé le développeur sur ce problème. Lorsqu'on lui a demandé une déclaration sur la guerre, le développeur a répondu de manière plutôt neutre :
« En tant que fournisseur de services technologiques et de cybersécurité, l’entreprise n’est pas en mesure de commenter ou de spéculer sur les évolutions géopolitiques en dehors de son domaine d’expertise. »
Ce faisant, Kaspersky cache clairement sa lumière sous le boisseau alors que l'entreprise prétend n'avoir actuellement rien à voir avec la guerre. Le prestataire de services veille par exemple actuellement à ce que le site Internet du ministère russe de la Défense ne soit pas accessible depuis l'étranger. Du point de vue stratégique des Russes, cela est tout à fait compréhensible. Après tout, cela pourrait constituer une passerelle pour les pirates informatiques étrangers.