Kaspersky Lab a été considéré par les autorités américaines comme un facilitateur des actions d’espionnage du gouvernement russe, que ce soit intentionnellement ou non. Pour mettre fin à la méfiance et éviter que son nom ne soit davantage terni, l’entreprise a annoncé un programme de transparence mondial. L’initiative comprend l’accès au code source de ses logiciels et de généreuses récompenses pour ceux qui découvrent de graves défauts dans ceux-ci.
Ce n’est pas aujourd’hui que les autorités américaines ferment les yeux sur Kaspersky. Le mois dernier, le ministère américain de la sécurité intérieure a même demandé à d’autres agences gouvernementales de cesser d’utiliser les services de la société dans un délai de 90 jours.
Apparemment, la décision était basée sur un problème qui a fait surface quelques jours plus tard : des pirates informatiques liés au gouvernement russe avaient utilisé une brèche dans un antivirus Kaspersky pour espionner un employé de la NSA et ainsi voler des données confidentielles de l’agence.
Aucune preuve que Kaspersky était impliqué dans l’attaque n’a été divulguée. Un bug aurait pu faciliter le travail des envahisseurs, mais il n’y a pas d’information à ce sujet non plus. Malgré cela, l’épisode a gravement porté atteinte à l’image de la société. Le fait que le siège de Kaspersky se trouve à Moscou n’a fait qu’empirer les choses.
Avec le programme de transparence, l’entreprise veut regagner la confiance perdue ces dernières semaines et préciser qu’elle ne participe à aucune action d’espionnage ou activité similaire.
Pour cela, le programme comportera plusieurs phases. Dans un premier temps, la société s’engage à ouvrir un examen indépendant – mené par un audit externe – du code source d’ici le premier trimestre 2018. Ensuite, il y aura une évaluation indépendante des processus de développement, pour vérifier l’intégrité du logiciel.
L’étape la plus importante est sans doute celle qui permettra de créer, d’ici 2020, trois centres de transparence, un en Asie, un en Europe et le troisième, évidemment, aux États-Unis. Dans ces centres, des partenaires de confiance et des entités gouvernementales pourront, entre autres activités, s’attaquer directement aux problèmes de sécurité et accéder aux examens du code source des logiciels de Kaspersky.
C’est une décision audacieuse, mais pas surprenante. Eugène Kaspersky, le PDG de l’entreprise, avait déjà parlé de mettre le code source du logiciel à la disposition des autorités américaines pour prouver que Kaspersky n’est pas impliqué dans des activités illégales.
Comme il existe également la possibilité pour les intrus d’exploiter les failles de sécurité, le programme de transparence comprendra également des récompenses allant jusqu’à 100 000 euros pour les chercheurs indépendants en sécurité qui trouveront de graves failles dans le logiciel Kaspersky d’ici la fin de 2017.
Ces actions serviront-elles à calmer les humeurs des autorités américaines ? On ne peut pas le dire. Mais le programme devrait laisser les clients – surtout les entreprises – et les partenaires commerciaux plus détendus. Vu les circonstances, c’est certainement ce qui intéresse le plus Kaspersky.
