Kasoersky bouté du marché public américain

le 29/03/2022, par Dominique Filippone, Sécurité, 728 mots

L'autorité de régulation des télécoms américaine a ajouté les produits et services de l'éditeur russe en sécurité Kaspersky sur la liste des équipements portant atteinte à la sécurité nationale. La société est par ailleurs exclue du programme de bug bounty de HackerOne.

Kasoersky bouté du marché public américain

Les nuages noirs s'amoncellent au-dessus de la tête de Kaspersky. Devenu persona non grata dans plusieurs pays d'Europe suite à la guerre en Ukraine ayant débouché sur une vague d'embargos sur de nombreuses entreprises russes, Kaspersky était déjà en délicatesse aux Etats-Unis où ses produits étaient déjà banni des agences gouvernementales pour cause de risque de cyber-espionnage. Cette fois, le curseur est placé un cran plus loin avec la décision prise par l'autorité de régulation des télécoms américaine (Federal Communications Commission ou FCC) en fin de semaine dernière. L'institution a en effet placé l'éditeur russe sur la liste des équipements et services présentant un « risque inacceptable pour la sécurité nationale des Etats-Unis ou la sécurité et la sûreté des citoyens américains ».

Sont ainsi inclus sur cette « covered list » tous les produits, solutions et services fournis - directement ou indirectement - par Kaspersky et toutes ses sociétés (maison-mère, filiales, ...). Sur cette liste publiée le 25 mars 2022, la FCC place également les services de télécommunications et de vidéo-surveillance de China Mobile International USA et de China Telecom (Americas). La dernière salve de solutions étrangères bannies des Etats-Unis remonte au 12 mars 2021 et concernait des services de télécommunications Huawei Technologies, ZTE, Hytera Communications, Hangzhou Hikvision Digital Technology Company et Dahua Technology Company.

Couper le robinet pour financer l'achat et la maintenance de solutions

La présence de Kaspersky sur la liste signifie, comme le rappelle Reuters, que l'argent du fonds de service universel (USF) annuel de la FCC d'un montant de 8 milliards de dollars ne peut pas être utilisé pour acheter ou maintenir ses produits. Ce fonds est utilisé à différentes fins comme les télécommunications pour les zones rurales, les clients à faible revenus, des installations publiques au sein d'écoles, de bibliothèques, d'hôpitaux... La décision de la FCC n'a pas directement vocation à contraindre directement les agences gouvernementales et les administrations publiques à ne plus recourir aux solutions de Kaspersky, mais un coup d'arrêt à ces subventions risque bien de nuire sérieusement à l'activité du groupe. En agissant de la sorte, les Etats-Unis pensent-ils éviter un conflit ouvert de plus avec la Russie ? On se doute bien que l'étape d'après serait une interdiction pure et simple du recours aux solutions et services.

Suite à cette décision, l'éditeur russe localisé à Moscou a réagi le jour même dans un communiqué officiel faisant ressortir une tension palpable: « Comme il n'y a eu aucune preuve publique pour justifier autrement ces actions depuis 2017, et que l'annonce de la FCC fait spécifiquement référence à l'acte de 2017 du département de la sécurité intérieure comme base de la décision d'aujourd'hui, Kaspersky pense que l'extension actuelle d'une telle interdiction aux entités qui reçoivent des subventions sont également non fondées et constituent une réponse au climat géopolitique plutôt qu'une évaluation complète de l'intégrité des produits et services de Kaspersky ». La presse américaine s'était fait l'écho de la formation initiale d'Eugene Kaspersky, un cursus de cryptographie dans un institut en partie financé par le KGB. Elle évoquait les liens gardés avec le FSB, démentis par le principal intéressé.

Les rémunérations des hackers en Russie, Biélorussie et des régions séparatistes ukrainiennes suspendues

En parallèle de l'action de la FCC à l'encontre de Kaspersky, l'éditeur est également bouté de la plateforme de bug bounty HackerOne. « Nous avons suspendu les programmes pour les clients basés dans les pays de la Russie, de la Biélorussie et des zones sanctionnées de l'Ukraine. Cependant, HackerOne ne bloquera pas l'accès aux divulgations de vulnérabilité soumises avant la suspension des services », a expliqué HackerOne. « Nous avons suspendu les paiements aux hackers dans les régions sanctionnées. Tous les paiements dus à des hackers en Russie ou en Biélorussie sont retenus jusqu'à ce que la situation change ».

Une situation qui a encore fait réagir l'éditeur russe : « Nous sommes tristes d'annoncer que le programme de bug bounty Kaspersky hébergé sur la plateforme HackerOne est suspendue indéfiniment en raison d'une action unilatérale de HackerOne [...] Kaspersky trouve que cette action unilatérale est un comportement inacceptable, en particulier vis-à-vis des acteurs clés de la communauté coordonnant ce programme de vulnérabilité où la confiance entre toutes les parties est primordiale pour concevoir des produits et des services plus sûrs ».

La directive NIS2 apporte plus de cybersécurité dans l'UE

Les premiers pas de la directive NIS2 ont été validés par l'Union européenne, mais il faudra patienter jusqu'en 2024 avant une transcription dans le droit de chaque Etat membre. La directive NIS 2 est sortie...

le 19/05/2022, par Dominique Filippone, 686 mots

Thales rachète S21sec et Excellium

Thales vient d'annoncer l'acquisition de deux sociétés spécialisées en cybersécurité : S21sec et Excellium auprès de Sonae Investment Management. La transaction est estimée à 120 millions d'euros. Coup double...

le 17/05/2022, par Jacques Cheminat, 365 mots

Intel dévoile le projet Amber pour l'informatique confidentielle

Lors du dernier événement Vision organisé la semaine passée au Texas, Intel a lancé une initiative de sécurité en tant que service dénommée Project Amber pour l'informatique confidentielle dans le cloud....

le 16/05/2022, par Shweta Sharma, CSO (adaptation Jean Elyan, 1126 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...