Dommage collatéral – sur la cybersécurité

Lettre ouverte d’Eugène Kaspersky en réponse à l’avertissement contre l’utilisation des produits Kaspersky par l’Office fédéral de la sécurité des technologies de l’information allemand (BSI).

Au cours des trois dernières semaines, la guerre en Ukraine a fait voler en éclats le monde que nous connaissions. Des familles, des relations, des partenariats et des liens d’amitié ont été brisés en Ukraine, en Russie, en Europe et dans le monde entier. L’avalanche de ces événements tragiques nous rattrape tous.

Elle a également touché mon entreprise, la plus grande entreprise privée de cybersécurité au monde, qui porte fièrement mon nom. Cette semaine, l’Office fédéral allemand de la sécurité de l’information (BSI) a publié un avertissement concernant les produits Kaspersky, citant les risques potentiels pour la sécurité informatique de ceux qui utilisent les produits et solutions Kaspersky. Sans entrer dans les détails, je peux dire que ces affirmations sont des spéculations qui ne sont étayées par aucune preuve objective et qui n’apportent aucun détail technique. La raison est simple. Aucune preuve d’utilisation ou d’abus de Kaspersky à des fins malveillantes n’a jamais été découverte ni démontrée au cours des vingt-cinq années d’existence de la société, malgré d’innombrables tentatives en ce sens.

Sans cette preuve, je ne peux que conclure que cette décision est prise uniquement pour des raisons politiques. Il est tristement ironique que l’organisation qui défend l’objectivité, la transparence et la compétence technique – les mêmes valeurs que Kaspersky a soutenues pendant des années avec le BSI et d’autres régulateurs et organismes européens du secteur cyber – ait décidé ou ait été forcée d’abandonner ses principes littéralement du jour au lendemain. Kaspersky, partenaire de longue date du BSI et contributeur de l’écosystème international de la cybersécurité, n’a eu que quelques heures pour répondre à ces allégations fausses et sans fondement. Ce n’est pas une invitation au dialogue, c’est une insulte.

Malgré les propositions répétées de Kaspersky de mener un audit approfondi de notre code source, des mises à jour, de l’architecture et des processus au sein des différents Centres de Transparence en Europe, le BSI ne l’a jamais fait. Cette décision semble omettre également le fait que Kaspersky est depuis des années le pionnier d’une plus grande transparence et a relocalisé les données sur les cybermenaces de nos clients européens en Suisse, et ce, dans le cadre de notre Initiative Globale de Transparence. C’est pourquoi je considère la décision du BSI comme une attaque injuste et injustifiée contre ma société et plus particulièrement contre les employés de Kaspersky en Allemagne et en Europe. Plus important encore, c’est aussi une attaque contre les nombreux consommateurs qui font confiance à Kaspersky, qui a été récompensé il y a deux semaines comme la meilleure offre de sécurité (par AV-Test). Il s’agit également d’une attaque contre les emplois de milliers de professionnels allemands et européens de la sécurité informatique, contre les agents des forces de l’ordre que nous avons formés pour lutter contre la cybercriminalité avancée, contre les étudiants en informatique que nous avons aidés à développer des compétences en cybersécurité, contre nos partenaires de projets de recherche dans les domaines les plus critiques de la cybersécurité et contre des dizaines de milliers d’entreprises européennes de toutes tailles que nous avons protégées de tous les types de cyberattaques.

Les dommages à la réputation et aux affaires causés par la décision du BSI sont déjà très importants. La seule question que je me pose est : dans quel but ? L’absence de Kaspersky ne rendra pas l’Allemagne ou l’Europe plus sûre. Bien au contraire. La décision du BSI signifie qu’il est fortement conseillé aux utilisateurs de désinstaller immédiatement le seul antivirus qui, selon AV-Test – un institut de sécurité informatique indépendant – garantit une protection à 100 % contre les rançongiciels. Cela signifie que les principaux fabricants d’équipements industriels ne recevront plus d’informations sur les vulnérabilités critiques de leurs logiciels et matériels de la part des équipes de chercheurs du GReAT ou de l’ICS-CERT – équipes saluées pour leur travail d’investigation par ces mêmes fabricants. Cela signifie que les géants allemands de l’automobile ne seront plus informés des vulnérabilités qui peuvent permettre à un attaquant de prendre le contrôle de l’ensemble du système informatique embarqué et d’en modifier la logique. Cela signifie un énorme angle mort sur la surface d’attaque pour les intervenants en réponse à incident et les opérateurs de SOC européens, qui ne seront plus en mesure de recevoir des données sur les menaces provenant du monde entier – et de la Russie en particulier.

Nous considérons que cette décision est injuste et malvenue. Néanmoins, nous sommes prêts à répondre à toutes les préoccupations de manière objective, technique et honnête. Nous remercions les régulateurs européens – tels que les agences de cybersécurité française ANSSI et italienne ACN – et les experts de l’industrie qui ont adopté une approche plus rationnelle en recommandant une analyse technique et un examen supplémentaires des solutions de sécurité et de la chaîne d’approvisionnement informatique. Je m’engage pleinement à fournir toutes les informations et la coopération requises de Kaspersky tout au long de ce processus. Et je souhaite dire à nos clients européens que nous sommes immensément reconnaissants que vous ayez choisi Kaspersky, et que nous continuerons à faire ce que nous faisons le mieux : vous protéger contre toutes les cybermenaces, peu importe d’où elles viennent, tout en étant totalement transparent en ce qui concerne notre technologie et nos opérations.

La guerre en Ukraine ne peut prendre fin que par la diplomatie, et nous espérons tous la fin des hostilités et la poursuite du dialogue. Cette guerre est une tragédie qui a déjà fait souffrir des personnes innocentes et qui a eu des répercussions dans notre monde hyper connecté. L’industrie mondiale de la cybersécurité, qui s’est construite sur la base de la confiance et de la coopération pour protéger les liens numériques qui nous relient les uns aux autres, est aujourd’hui également touchée par ce conflit – ce qui laisse donc le monde encore moins sûr.

Conseils