Kaspersky Lab sous le feu des projecteurs : l'administration Biden se prépare à empêcher les Américains d'utiliser les logiciels de l'entreprise russe

évoquant des raisons de sécurité nationale

L’administration Biden se prépare à prendre une mesure inhabituelle en émettant un ordre qui interdirait aux entreprises et aux citoyens américains d’utiliser des logiciels développés par une importante entreprise russe de cybersécurité, en raison de préoccupations liées à la sécurité nationale. Cette décision, qui est en cours de finalisation et pourrait être mise en place dès ce mois-ci, utiliserait les pouvoirs relativement nouveaux du ministère du Commerce, fondés sur les décrets signés par les présidents Joe Biden et Donald Trump, pour interdire à Kaspersky Lab de fournir certains produits et services aux États-Unis.

Bien que les agences gouvernementales américaines soient déjà interdites d’utiliser les logiciels de Kaspersky Lab, cette action pour empêcher les entreprises privées d’utiliser ces logiciels serait sans précédent. Rien n’est définitif tant que cela n’a pas été annoncé officiellement, mais le Département du Commerce a pris une « décision initiale » d'interdire certaines transactions entre la société russe et les personnes aux États-Unis.

L’objectif de cette mesure serait de réduire les risques pour l’infrastructure critique des États-Unis. Bien que le projet d’interdiction ait initialement concerné les personnes aux États-Unis, il pourrait être modifié avant d’être officiellement annoncé. On s’attend à ce que l’interdiction se concentre principalement sur les logiciels antivirus de Kaspersky.

Il s'agit de la dernière tentative en date du gouvernement américain d'utiliser ses vastes pouvoirs réglementaires pour empêcher les Américains d'utiliser une technologie populaire que les autorités américaines considèrent comme un risque pour la sécurité nationale. Cette décision intervient alors que le Sénat examine un projet de loi qui obligerait TikTok, propriété de la Chine, à trouver un nouveau propriétaire, sous peine d'être interdit aux États-Unis.

La même rengaine qu'avec TikTok

Depuis des années, les autorités américaines affirment que le gouvernement russe pourrait contraindre Kaspersky Lab à fournir des données ou à utiliser ses logiciels antivirus pour tenter de pirater ou de surveiller des Américains - des accusations que Kaspersky Lab nie catégoriquement.

En vertu de la législation américaine, Kaspersky Lab peut faire appel de la « décision initiale » d'interdire l'utilisation de ses produits ou conclure un accord avec le gouvernement qui atténue les problèmes de sécurité des États-Unis avant l'annonce de la décision finale du ministère du commerce.

Les fonctionnaires du ministère du commerce doivent examiner attentivement dans quelle mesure une telle réglementation serait pratique à appliquer pour le ministère et à respecter pour les utilisateurs. Il serait peu logique, par exemple, de forcer une petite entreprise quelque part en Amérique à désinstaller le logiciel Kaspersky si cela la perturbe et si l'entreprise n'a pas d'incidence sur la sécurité nationale.

Selon la société, plus de 400 millions de personnes et 240 000 entreprises dans le monde utilisent les logiciels de Kaspersky Lab. On ne sait pas exactement combien de ces personnes et de ces entreprises se trouvent aux États-Unis. Mais les autorités américaines estiment que le risque que représente le logiciel pour l'infrastructure des États-Unis est suffisamment élevé pour justifier l'ordonnance en cours.


Comprendre le contexte

En décembre 2017, le président américain Donald Trump a signé une loi interdisant l'utilisation du logiciel Kaspersky Lab dans les agences gouvernementales américaines en raison des craintes qu'il soit utilisé par la Russie à des fins d'espionnage. La menace s'est accentuée après l'invasion totale de l'Ukraine par la Russie le 24 février.

Selon Reuters, le gouvernement américain a commencé à avertir en privé certaines entreprises américaines dès le lendemain de l'invasion de l'Ukraine par la Russie que Moscou pouvait manipuler les logiciels développés par Kaspersky Lab. En mars 2022, la Commission fédérale des communications (FCC) a ajouté Kaspersky Lab à la liste des entreprises qui menacent la sécurité nationale des États-Unis.

Une nouvelle ère pour la réglementation du commerce

En 2017, l'administration Trump a contraint les agences civiles fédérales américaines à purger leurs réseaux des produits logiciels de Kaspersky Lab, et le Congrès a ensuite codifié l'interdiction et l'a appliquée aux réseaux militaires américains. Mais l'action attendue de l'administration Biden irait plus loin en utilisant les autorités du département du Commerce pour empêcher les entreprises privées d'utiliser les logiciels de Kaspersky Lab.

Les pouvoirs du ministère du commerce sont relativement nouveaux et découlent en partie d'un décret de 2021 que Biden a signé au nom de la protection des données personnelles des Américains contre les « adversaires étrangers » et d'un décret connexe signé par Trump en 2019.

Ces deux décrets font état d'une « urgence nationale » liée aux menaces qui pèsent sur la sécurité de la chaîne d'approvisionnement en logiciels des États-Unis et de la possibilité pour le secrétaire au commerce d'examiner les transactions à risque en vertu d'une loi de 1977 appelée "International Emergency Economic Powers Act" (loi sur les pouvoirs économiques d'urgence internationaux). Plus précisément, le secrétaire peut interdire les transactions impliquant la chaîne d'approvisionnement des technologies de l'information et de la communication ou en atténuer les risques, conformément à la loi mise à jour sur la base des deux décrets.

Le Wall Street Journal a rapporté l'année dernière que le ministère du commerce envisageait d'utiliser ses pouvoirs pour restreindre l'utilisation des logiciels de Kaspersky Lab, mais qu'aucune décision n'avait été prise en ce sens.

Mais après des mois de délibérations sur la manière d'utiliser efficacement les pouvoirs réglementaires du département du commerce contre l'utilisation des logiciels de Kaspersky Lab, les fonctionnaires américains se préparent enfin à utiliser ces pouvoirs, a déclaré un fonctionnaire américain au courant des discussions privées. L'action en cours « signale une nouvelle ère dans laquelle le département du commerce sera plus enclin à intervenir au nom de la protection de la sécurité nationale », a déclaré Henry Young, ancien conseiller principal du département du commerce.

Les entreprises « détenues ou contrôlées par un adversaire étranger devraient prendre note » si le secrétaire au commerce montre « la volonté d'interdire les transactions qui créent un risque inacceptable pour la sécurité nationale des États-Unis », a déclaré Young, qui est aujourd'hui directeur principal de la politique de la Business Software Alliance, un groupe de lobbyistes industriel.


Des relations qui n'ont pas toujours été tendues

Fondé à Moscou en 1997, Kaspersky Lab est devenu l'un des éditeurs de logiciels antivirus les plus prospères au monde, aux côtés de concurrents américains tels que McAfee et Symantec. Les chercheurs de Kaspersky Lab sont réputés pour leur analyse des opérations de piratage informatique soupçonnées d'être menées par divers gouvernements, dont la Russie, les États-Unis et Israël, mais aussi des menaces cybercriminelles qui touchent les utilisateurs quotidiens.

Une partie des spéculations et des soupçons des fonctionnaires américains à l'égard de la société russe se concentre sur Eugène Kaspersky, un expert informatique charismatique qui a cofondé Kaspersky Lab à Moscou en 1997.

Eugène Kaspersky a étudié la cryptographie dans une université parrainée par le KGB - un fait que certains législateurs américains aiment mentionner lorsqu'ils tentent de lier l'entreprise au gouvernement russe. Kaspersky Lab a nié avoir « des liens ou des affiliations contraires à l'éthique avec tout gouvernement, y compris la Russie ». Après avoir obtenu son diplôme, Kaspersky a travaillé comme ingénieur logiciel dans un institut du ministère russe de la défense, et c'est là « l'étendue de son expérience militaire »,affirme l'entreprise.


Kaspersky a déploré que son entreprise soit victime des tensions géopolitiques entre l'Occident et la Russie, tensions qui n'ont fait que s'accentuer depuis l'invasion de l'Ukraine par le Kremlin en 2022.

Mais malgré les batailles juridiques et les années de rhétorique enflammée, les relations de Kaspersky Lab avec le gouvernement américain n'ont pas toujours été acrimonieuses. Un tuyau de l'entreprise au gouvernement américain a finalement conduit à l'arrestation en 2016 d'un contractant de l'Agence nationale de sécurité nommé Harold Martin, qui a été condamné pour vol d'informations classifiées, a rapporté Politico.

Mais un autre incident impliquant un autre contractant de la NSA n'a pas atténué les soupçons des autorités américaines à l'égard de l'entreprise de logiciels russe.

En 2015, des pirates informatiques travaillant pour le gouvernement russe ont volé des fichiers sur les cyberopérations américaines à un autre contractant de la NSA, a rapporté le Wall Street Journal en 2017. Les pirates russes semblent avoir ciblé le contractant après avoir identifié des fichiers grâce à l'utilisation par le contractant d'un logiciel de Kaspersky Lab, a rapporté le Journal, citant des personnes familières avec l'incident.

Sources : Code of Federal Regulations, Congrès, Kaspersky, Eugène Kaspersky

Et vous ?

Quelle est votre opinion sur l’utilisation de logiciels développés par des entreprises russes aux États-Unis ? Pensez-vous que cela pose un risque pour la sécurité nationale ?
Devrions-nous privilégier la sécurité nationale au détriment de la liberté de choix des utilisateurs ? Comment équilibrer ces deux aspects ?
Quelles alternatives existent pour les entreprises et les citoyens américains qui utilisent actuellement des logiciels de Kaspersky Lab ? Comment pouvons-nous garantir leur sécurité tout en respectant les libertés individuelles ?
Comment cette mesure pourrait-elle affecter les relations commerciales entre les États-Unis et la Russie ? Quelles conséquences économiques pourraient en découler ?
Pensez-vous que d’autres pays devraient adopter des mesures similaires pour protéger leur infrastructure critique ? Pourquoi ou pourquoi pas ?