L'Allemagne et l'Italie recommandent aux utilisateurs de leur pays de ne plus utiliser l'antivirus russe Kaspersky, suspecté de transferts de données et d'attaques informatiques. L'Agence française de la cybersécurité des systèmes informatiques (Anssi) conseille de trouver une solution de remplacement. Le niveau de protection délivré par l’antivirus pourrait être affecté par le conflit actuel en Ukraine.
Thierry Berthier est Maître de Conférences en mathématiques à l'Université de Limoges et enseigne dans un département informatique. Il est chercheur au sein de la Chaire de cybersécurité & cyberdéfense Saint-Cyr – Thales -Sogeti et est membre de l'Institut Fredrik Bull.
Atlantico : La France, l'Allemagne et l'Italie conseillent aux utilisateurs de leur pays de ne plus utiliser l'antivirus russe Kaspersky, suspecté d'attaques informatiques et de transferts de données. Pourquoi de tels avertissements ? Le risque de malveillance est-il réel ?
Thierry Berthier : En préambule, rappelons que les Etats-Unis ont interdit l’antivirus Kaspersky depuis 2017 et que l’Italie et d’autres pays européens ordonnent des audits sur les potentiels risques de fuite de données associés à l’usage de cette solution de sécurité russe. Ces mesures et interdictions potentielles doivent être recontextualisées à la lumière du conflit en Ukraine et de sa dimension dans le cyberespace. A ce jour, les cyberattaques russes ont été concentrées, durant les trois premières semaines du conflit, sur des cibles militaires, des centres de communication et des administrations gouvernementales ukrainiennes. Très peu de dommages collatéraux cyber ont été constatés en dehors de l’Ukraine, si ce n’est une attaque contre un système de télécommunication satellitaire SATCOM qui a « briqué » un certain nombre de terminaux de connexion en dehors des frontières ukrainiennes. Exceptée cette attaque à effets collatéraux, il n’y a pas eu à ce jour de « cyber blast » russe ciblant des infrastructures critiques occidentales. Les sanctions décidées par la communauté internationale contre la Russie pourraient s’appliquer à un large éventail de sociétés russes dont les éditeurs de logiciels de cybersécurité. Une suite antivirus est, par nature, un ensemble de logiciels sensibles à qui l’on donne « toutes les clés de la maison » en acceptant de lui faire pleinement confiance (sinon, il ne faut pas l’installer). Un antivirus moderne ne se limite pas à la détection et au blocage des virus et malware, il offre en général un pack de services payant sécurisant l’ensemble du système d’information sur une machine ou sur un réseau d’ordinateurs. La suite antivirus va détecter les logiciels malveillants (historiquement sa fonction initiale), il va sécuriser la navigation sur Internet en proposant l’ajout d’un VPN, il va protéger l’identité numérique et fournir des fonctionnalités de pare-feu (firewall) dynamique. Il peut aussi faciliter la maintenance du système d’information (suppression de doublons, de fichiers obsolètes, de clés de registre inutiles, …). Tous les antivirus proposent désormais des fonctions de protection et de gestion de notre vie privée numérique comme le « Password Manager » qui assure la gestion automatique des multiples mots de passe utilisés dans nos activités quotidiennes, le coffre-fort numérique qui permet de déposer des documents importants ou confidentiels dans un espace hyper sécurisé, souvent par un chiffrement robuste. L’antivirus peut vous proposer de sécuriser les accès et les paramètres de votre webcam pour éviter les attaques de prise de contrôle à distance. Il peut aussi fournir des solutions de contrôle parental et de protection des données (archivage automatique, destruction irréversible, duplication, insertion dans une blockchain…). Le spectre des fonctionnalités d’un antivirus moderne est presque sans limite puisqu’il offre une approche globale de la sécurité d’un système. Lorsque l’on décide d’installer un antivirus payant ou gratuit, la première étape est le consentement à lui accorder toute sa confiance. La deuxième étape est celle du choix de la suite antivirus la plus performante en fonction du budget disponible. Il existe de nombreux classements et benchmarks distinguant les meilleures solutions antivirus. Par exemple le classement CLUBIC 2022 :
Classement CLUBIC des 10 meilleurs antivirus 2022
On constate que la suite Kaspersky Total Security arrive en 4eme position dans ce classement. D’autres critères la positionnent en troisième ou seconde position dans le classement mondial. On comprend qu’il s’agit d’un antivirus performant, de niveau mondial, qui protège un très grand nombre de postes de travail dans le monde.
Quels sont les risques potentiels associés à l’utilisation d’un antivirus (quel qu’il soit) ? En première approche on pourrait imaginer une capacité d’exfiltration de données en utilisant une porte dérobée volontairement laissée par l’éditeur. Cette hypothèse me semble très peu probable car un éditeur qui accepterait d’entrer dans ce type de mécanisme prendrait un risque énorme que cette porte dérobée soit découverte par la communauté des utilisateurs. Cela signifierait la rupture de confiance immédiate et sa mort commerciale instantanée. Un éditeur pourrait être contraint par le gouvernement de son pays d’origine à exploiter un « tunnel » de communication entre la machine protégée et des serveurs de l’éditeur dans un objectif d’exfiltration de données, d’espionnage ou de cyber-sabotage. Dans ce cas aussi, la prise de risque pour l’éditeur serait démesurée et elle causerait presque surement sa perte. Une troisième hypothèse est celle de l’exploitation par un tiers de vulnérabilités inconnues de l’éditeur mais qui pourraient servir lors d’une attaque ciblée. Cette attaque ne concernerait alors que des cibles à très haute valeur ajoutée dans le cadre d’une opération d’espionnage. On ne peut pas exclure totalement cette hypothèse. Enfin, on pourrait imaginer une suite antivirus détournée de sa version originelle de protection du SI vers une action de destruction du SI. Il faudrait pour cela s’appuyer sur une entente préalable entre l’Etat attaquant et l’éditeur de l’antivirus qui renoncerait alors à l’ensemble de son business pour devenir une entité offensive agressive.
Si l’on utilise Kaspersky, faut-il immédiatement changer d’antivirus ? Si oui, une simple désinstallation suffit-elle ?
Tout dépend qui est l’utilisateur et dans quel contexte on exploite cet antivirus : Si je suis une entreprise sensible, une administration, un service étatique, je dois alors strictement me référer aux préconisations publiées par l’ANSSI et l’ENISA notamment durant cette période de guerre en Ukraine. Si je suis un particulier et que je viens de payer ma licence antivirus Kaspersky pour l’année 2022, alors je conserve mon antivirus performant tout en réalisant régulièrement des sauvegardes de sécurité (sur un disque externe indépendant de mon ordinateur) des données stockées sur ma machine. Je laisse mon système réaliser les mises à jour de sécurité quand elles sont notifiées et je fais preuve de vigilance avec ma boite mail.
Encore une fois, il faut se mettre un instant à la place de l’éditeur d’antivirus. Sa préoccupation première est de fidéliser une clientèle. Il n’a donc aucun intérêt commercial à trahir ceux qui le font vivre.
En remplacement de Kaspersky, vers quel(s) antivirus se tourner ?
Si l’on souhaite absolument changer d’antivirus, attention tout de même à ne pas basculer sur une solution plus chère et moins performante ! La suite Kaspersky figure dans le Top3 mondial, cela signifie qu’elle offre un très bon niveau de protection contre un grand nombre d’attaques cyber. Quitte à changer, il ne faut pas perdre en performance et choisir une solution dans le Top5. On peut opter également pour des solutions gratuites mais qui n’offrent pas le même périmètre de protection en version de base (il faut payer pour disposer des fonctions étendues).
Au-delà de la Russie avec Kaspersky, la situation pourrait-elle se reproduire avec d'autres antivirus ?
En dehors des solutions russes, les autres éditeurs d’antivirus sont majoritairement américains. Là aussi, on peut imaginer que l’éditeur n’a aucun intérêt à trahir la confiance de sa clientèle. On peut bien entendu tout imaginer mais la rationalité commerciale des éditeurs et la concurrence féroce auxquelles ils se livrent font qu’ils n’ont aucun intérêt à jouer un double jeu avec leurs clients. En France nous disposons d’un unique éditeur confirmé d’antivirus antimalware. Il s’agit de VirusKeeper . Si vous décidez de quitter Kaspersky alors jouez la souveraineté technologique et optez pour le made in France.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !