Je n’ai rien contre Kaspersky. En fait, l’entreprise de sécurité informatique russe fait même du bon boulot. Son logiciel antivirus — l’un des plus populaires dans le monde — se classe bien dans les palmarès de la presse spécialisée, ses prix sont raisonnables et ses chercheurs découvrent fréquemment de nouveaux logiciels malveillants. J’ai d’ailleurs eu recours à eux à quelques reprises au fil des ans pour commenter des événements liés à la sécurité informatique. « C’est une bonne entreprise de sécurité, avec des gens compétents », me confirme au bout du fil Patrick Boucher, expert indépendant en sécurité informatique.
Malgré tout, je n’utilise pas ses produits, et ce, depuis plusieurs années. Kaspersky traîne un boulet qui pèse de plus en plus lourd : son origine russe.
« Un fabricant informatique russe peut lui-même mener des opérations offensives, être contraint d’attaquer des systèmes cibles contre sa volonté, être victime d’une cyberattaque à son insu, être espionné ou alors utilisé comme outil pour lancer des attaques contre sa propre clientèle », a alerté mardi la BSI, l’agence allemande responsable de la cybersécurité. Celle-ci ne remet pas en doute les intentions de Kaspersky, mais dans le contexte de la guerre en Ukraine, l’entreprise pourrait être impliquée dans des attaques informatiques, même contre son gré. La BSI déconseille donc l’utilisation de son antivirus.
L’Allemagne n’est pas le premier pays à mettre sa population en garde contre Kaspersky. Les États-Unis ont par exemple interdit à leurs agences gouvernementales, en 2017, de se servir de ses produits. Le Royaume-Uni leur a emboité le pas quelque temps plus tard. Dans un rapport publié après le début de l’invasion russe en Ukraine, la France a aussi remis en question l’utilisation de l’antivirus, sans pour autant le bannir. Aucun avertissement du genre n’a toutefois été émis au Canada.
Kaspersky montre patte blanche
Kaspersky est maintenant habituée à ces critiques, et sa réponse, toujours la même, touche quand même la cible : l’entreprise n’est pas à la solde de Moscou, et les avertissements contre ses produits sont politiques, et non technologiques. Elle a même fait de nombreux efforts au cours des dernières années pour augmenter sa transparence et rassurer ses 400 millions de clients dans le monde. Kaspersky a par exemple ouvert un centre de données en Suisse en 2020 pour y traiter et y stocker les informations de ses utilisateurs d’Europe, d’Amérique du Nord et de plusieurs pays asiatiques.
Kaspersky a aussi inauguré un Centre de transparence au Nouveau-Brunswick à la fin 2021, lequel vise notamment à permettre à la communauté internationale de sécurité informatique d’évaluer le sérieux de ses produits et de ses processus. Même le code source de ses logiciels est accessible à ceux qui en font la demande.
Un chercheur de Kaspersky a reconnu, dans un billet de blogue publié sur son site personnel, que l’entreprise et la plupart de ses développeurs sont établis en Russie, et qu’ils sont donc « soumis aux lois locales et ont des familles ». L’auteur ne donne pas plus de détails, mais entre les lignes, on comprend qu’il évoque la possibilité que les membres du personnel et leurs proches puissent être visés par du chantage. Selon le chercheur, Kaspersky aurait toutefois mis en place des mesures pour se protéger d’employés qui voudraient utiliser les ressources de l’entreprise à mauvais escient, ce qui réduirait ce risque.
Même sans preuves, un doute subsiste
Rien n’indique que Kaspersky ait de mauvaises intentions. Aucune preuve ne démontre que l’entreprise est à la solde de Moscou, et les mesures — énoncées plus haut — mises en place au cours des dernières années pour protéger sa réputation tiennent la route.
Mais Kaspersky peut bien montrer patte blanche et faire tous les efforts du monde pour soigner sa réputation, le fait est que son siège social est en Russie, un pays dirigé par un président qui ne témoigne pas du plus grand des respects pour les règles. Que ce soit justifié ou non, il est impossible pour moi d’avoir totalement confiance.
J’ai d’ailleurs demandé à Patrick Boucher — bien plus versé que moi en la matière — s’il installerait l’antivirus Kaspersky sur son ordinateur personnel. Même s’il reconnaît que les craintes sont probablement exagérées, sa réponse est claire : « Non. Moi, je ne l’installerais pas. »
Après tout, un antivirus n’est pas un produit comme les autres. L’idée ici n’est pas de le bannir comme on retire la vodka russe des étagères de la SAQ ou comme on boycotte des athlètes. Un antivirus est un logiciel qui a les autorisations nécessaires sur un ordinateur pour le contrôler et l’espionner. Donneriez-vous tous les accès à vos documents et informations personnelles à une entreprise si vous n’aviez pas entièrement confiance en elle, même si ce qu’on lui reproche n’est pas sa faute ? Moi non plus.
Surtout qu’il existe d’autres bons logiciels antivirus, avec lesquels une ingérence de Moscou n’est pas à craindre. Le risque de conserver Kaspersky sur son ordinateur est peut-être minime, mais ce n’est pas un risque nécessaire.
En effet, il s’agit de confiance face à un régime politique que l’on considère comme « suspect ».
Changez « Kaspersky » par « Huawei » et « Moscou » par « Beijing », et cet article aura la même pertinence et les mêmes questionnements.
Dans le doute, il vaut mieux effectivement s’abstenir si nous ne maîtrisons pas tous les tenants et aboutissants d’une solution.