Le 13 septembre 2017, après des mois de discussions, le Department of Homeland Security a ordonné à toutes les agences fédérales américaines d’arrêter d’utiliser les logiciels de l’éditeur russe Kaspersky Labs, et de les désinstaller dans les 90 jours.

Ces logiciels seraient des risques de sécurité pour les informations en fournissant un vaste accès aux fichiers et en pouvant être exploité par des acteurs cyber malicieux, expliquait la Secrétaire Elaine C. Duke.

Les autorités américaines n’ont toutefois jamais apporté de preuve concrète de l’exploitation des logiciels de Kaspersky, et en premier lieu son antivirus, par les services secrets russes.

Avec des sources confidentielles du New York Times, on connaît désormais la raison des réticences américaines.

Les services secrets israéliens auraient piraté Kaspersky en 2014, et pris des pirates russes travaillant pour le compte de leur gouvernement en flagrant délit de recherche de programmes utilisés par les services secrets américains, à l’aide des rapports d’analyse de l’antivirus.

Les logiciels antivirus sont idéals pour effectuer des recherches de fichiers, voire prendre le contrôle à distance d’ordinateurs, car ils ont besoin d’accès privilégiés pour pouvoir mener à bien leur mission.

Fait assez rare, en plus des rapports d’activité recensant les fichiers scannés, la licence d’utilisation de l’antivirus Kaspersky autorise l’éditeur de logiciels à téléverser des fichiers entiers de l’ordinateur du client vers ses propres serveurs, pour analyse.

Un énorme risque pour la confidentialité.

C’est ainsi que des fichiers confidentiels de la NSA auraient été piratés : un contractuel de l’agence d’espionnage aurait, en violation des règlements, sauvegardé des documents confidentiels de la NSA sur son ordinateur portable. L’antivirus Kaspersky, également en violation des règlements de la NSA, était installé sur cet ordinateur.

Les noms de ces fichiers ont été ajoutés à des fichiers de rapports d’activité de l’antivirus Kaspersky, ce qui a alerté les pirates russes. Ils ont alors spécifiquement visé cet ordinateur pour pirater les fichiers de la NSA.

Kaspersky n’a découvert l’intrusion israélienne que des mois plus tard, en testant un nouveau système de détection. En juin 2015, elle publiait même un rapport public sur l’intrusion, mais sans nommer Israël. Le rapport mentionnait toutefois qu’il s’agissait d’une version améliorée de l’attaque Duqu, et que la plupart des autres cibles étaient des cibles israéliennes, comme des hôtels et des salles de réunion utilisées par le conseil de sécurité des Nations Unies, pour négocier l’accord sur le nucléaire avec l’Iran, discussions desquelles Israël était exclu.

L’implication directe de Kaspersky et de ses dirigeants dans l’exploitation de ses systèmes par les autorités russes n’a jamais été prouvée, et il est tout à fait possible que les services secrets russes aient piraté, comme les services secrets israéliens, l’éditeur de logiciels.

D’un autre côté, les experts estiment que si le Président Vladimir Poutin, un ancien du KGB, l’avait ordonné, il aurait sans doute été impossible à Kaspersky de refuser de coopérer.

Kaspersky s’est toujours défendue de toute coopération avec des agences gouvernementales, quelle que soit la nation. Dans un communiqué de presse distribué lundi, l’entreprise a réitéré sa neutralité, et qu’aucune porte dérobée n’était présente dans ses solutions.

Ce qui étonne le plus dans l’affaire est sa chronologie : si les autorités américaines étaient au courant, depuis 2014, de l’exploitation d’antivirus Kaspersky comme d’un moteur de recherche Google pour documents confidentiels, pourquoi a-t-elle mis presque trois ans à l’interdire ?