Tous les produits, solutions et services fournis - directement ou indirectement - par Kaspersky et toutes ses sociétés (maison-mère, filiales...) sont désormais interdits aux Etats-Unis. Quelques heures après que Reuters ait lancé l'information, le département américain du Commerce l'a finalement confirmé. "Cette action est la première du genre et constitue la première décision finale émise par l'Office of Information and Communications Technology and Services (OICTS) du BIS (bureau of industry and security), dont la mission est d'enquêter pour déterminer si certaines transactions de technologies ou de services d'information et de communication aux États-Unis présentent un risque excessif ou inacceptable pour la sécurité nationale", a expliqué le département américain du Commerce. "De façon générale, Kaspersky ne pourra plus, entre autres activités, vendre ses logiciels aux États-Unis ou fournir des mises à jour aux logiciels déjà utilisés."
Cette décision intervient un peu plus de deux ans après que l'administration Biden avait déjà - via l'autorité de régulation des télécoms américaine (FCC) - ajouté les produits et services de l'éditeur russe en sécurité Kaspersky sur la liste des équipements portant atteinte à la sécurité nationale. Mais cette fois, il s'agit d'une mesure beaucoup plus importante. "En plus de cette action, le BIS a ajouté trois entités - Kaspersky Lab et Kaspersky Group (Russie), et Kaspersky Labs Limited (Royaume-Uni) - à l'Entity List pour leur coopération avec les autorités militaires et de renseignement russes à l'appui des objectifs du gouvernement russe en matière de cyberespionnage."
Des relations historiquement tendues
Kaspersky est depuis longtemps dans le collimateur des régulateurs. En 2017, le département de la S²écurité Intérieure a interdit son produit antivirus phare sur les réseaux fédéraux, alléguant des liens avec les services de renseignement russes et notant que la loi russe permet aux agences de renseignement d'obtenir l'assistance de Kaspersky et d'intercepter les communications utilisant les réseaux russes. Mais la relation entre les Etats-Unis et la Russie s'est fortement dégradée depuis deux ans et on ne compte plus les lots de sanctions prises l'un contre l'autre. Par ailleurs, la presse américaine s'était toujours fait l'écho de la formation initiale en cryptographie du fondateur de l'éditeur, Eugene Kaspersky, dans un institut en partie financé par le KGB. Sans compter des liens gardés avec le FSB, toujours toutefois démentis par le principal intéressé. "La Russie a montré qu'elle avait la capacité et, plus encore, l'intention d'exploiter des sociétés russes telles que Kaspersky pour collecter et exploiter les informations personnelles des Américains, et c'est pourquoi nous sommes contraints de prendre les mesures que nous prenons aujourd'hui", a également indiqué le département du commerce.
Les nouvelles restrictions sur les ventes entrantes de logiciels Kaspersky, qui interdisent également les téléchargements de mises à jour de logiciels, les reventes et les licences du produit, entreront en vigueur le 29 septembre 2024, soit 100 jours après leur publication, afin de donner aux entreprises le temps de trouver des solutions de remplacement. Les activités commerciales de Kaspersky aux États-Unis seront bloquées 30 jours après l'annonce des restrictions. "Les particuliers et les entreprises qui utilisent les logiciels Kaspersky sont vivement encouragés à passer rapidement à de nouveaux fournisseurs afin de limiter l'exposition de données personnelles ou autres données sensibles à des acteurs malveillants en raison d'un manque potentiel de couverture en matière de cybersécurité. Les particuliers et les entreprises qui continuent d'utiliser les produits et services Kaspersky existants ne seront pas soumis à des sanctions légales en vertu de la décision finale. Cependant, toute personne ou entreprise qui continue à utiliser les produits et services Kaspersky assume tous les risques de cybersécurité et les risques associés", fait aussi savoir le département du commerce.
Kaspersky en mode défensif
Suite à cette décision, Kaspersky a déclaré à l'AFP que le département du Commerce "a pris sa décision sur la base du climat géopolitique actuel et des préoccupations théoriques" et s'est engagé à "poursuivre toutes les options légalement disponibles pour préserver ses opérations et ses relations actuelles". "Kaspersky ne s'engage pas dans des activités qui menacent la sécurité nationale des Etats-Unis et, en fait, a apporté des contributions significatives avec ses rapports et sa protection contre une variété d'acteurs de menaces qui ont ciblé les intérêts américains et les alliés."
Il y a deux ans, la France, l'Allemagne et l'Italie avaient déjà soulevé les risques d'utiliser les logiciels de l'éditeur russe et prôné leur remplacement par des solutions alternatives. Reste maintenant à observer si une position commune au niveau européen similaire à celle prise par les Etats-Unis va émerger.
Commentaire