Les nuages noirs s'amoncellent au-dessus de la tête de Kaspersky. Devenu persona non grata dans plusieurs pays d'Europe suite à la guerre en Ukraine ayant débouché sur une vague d'embargos sur de nombreuses entreprises russes, Kaspersky était déjà en délicatesse aux Etats-Unis où ses produits étaient déjà banni des agences gouvernementales pour cause de risque de cyber-espionnage. Cette fois, le curseur est placé un cran plus loin avec la décision prise par l'autorité de régulation des télécoms américaine (Federal Communications Commission ou FCC) en fin de semaine dernière. L'institution a en effet placé l'éditeur russe sur la liste des équipements et services présentant un « risque inacceptable pour la sécurité nationale des Etats-Unis ou la sécurité et la sûreté des citoyens américains ».
Sont ainsi inclus sur cette « covered list » tous les produits, solutions et services fournis - directement ou indirectement - par Kaspersky et toutes ses sociétés (maison-mère, filiales, ...). Sur cette liste publiée le 25 mars 2022, la FCC place également les services de télécommunications et de vidéo-surveillance de China Mobile International USA et de China Telecom (Americas). La dernière salve de solutions étrangères bannies des Etats-Unis remonte au 12 mars 2021 et concernait des services de télécommunications Huawei Technologies, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology Company et Dahua Technology Company.
Couper le robinet pour financer l'achat et la maintenance de solutions
La présence de Kaspersky sur la liste signifie, comme le rappelle Reuters, que l'argent du fonds de service universel (USF) annuel de la FCC d'un montant de 8 milliards de dollars ne peut pas être utilisé pour acheter ou maintenir ses produits. Ce fonds est utilisé à différentes fins comme les télécommunications pour les zones rurales, les clients à faible revenus, des installations publiques au sein d'écoles, de bibliothèques, d'hôpitaux... La décision de la FCC n'a pas directement vocation à contraindre directement les agences gouvernementales et les administrations publiques à ne plus recourir aux solutions de Kaspersky, mais un coup d'arrêt à ces subventions risque bien de nuire sérieusement à l'activité du groupe. En agissant de la sorte, les Etats-Unis pensent-ils éviter un conflit ouvert de plus avec la Russie ? On se doute bien que l'étape d'après serait une interdiction pure et simple du recours aux solutions et services
Suite à cette décision, l'éditeur russe localisé à Moscou a réagi le jour même dans un communiqué officiel faisant ressortir une tension palpable: « Comme il n'y a eu aucune preuve publique pour justifier autrement ces actions depuis 2017, et que l'annonce de la FCC fait spécifiquement référence à l'acte de 2017 du département de la sécurité intérieure comme base de la décision d'aujourd'hui, Kaspersky pense que l'extension actuelle d'une telle interdiction aux entités qui reçoivent des subventions sont également non fondées et constituent une réponse au climat géopolitique plutôt qu'une évaluation complète de l'intégrité des produits et services de Kaspersky ». La presse américaine s'était fait l'écho de la formation initiale d'Eugene Kaspersky, un cursus de cryptographie dans un institut en partie financé par le KGB. Elle évoquait les liens gardés avec le FSB, démentis par le principal intéressé.
Les rémunérations des hackers en Russie, Biélorussie et des régions séparatistes ukrainiennes suspendues
En parallèle de l'action de la FCC à l'encontre de Kaspersky, l'éditeur est également bouté de la plateforme de bug bounty HackerOne. « Nous avons suspendu les programmes pour les clients basés dans les pays de la Russie, de la Biélorussie et des zones sanctionnées de l'Ukraine. Cependant, HackerOne ne bloquera pas l'accès aux divulgations de vulnérabilité soumises avant la suspension des services », a expliqué HackerOne. « Nous avons suspendu les paiements aux hackers dans les régions sanctionnées. Tous les paiements dus à des hackers en Russie ou en Biélorussie sont retenus jusqu'à ce que la situation change ».
Une situation qui a encore fait réagir l'éditeur russe : « Nous sommes tristes d'annoncer que le programme de bug bounty Kaspersky hébergé sur la plateforme HackerOne est suspendue indéfiniment en raison d'une action unilatérale de HackerOne [...] Kaspersky trouve que cette action unilatérale est un comportement inacceptable, en particulier vis-à-vis des acteurs clés de la communauté coordonnant ce programme de vulnérabilité où la confiance entre toutes les parties est primordiale pour concevoir des produits et des services plus sûrs ».
Commentaire