Avertissement du BSI à propos de Kaspersky : moins technique, mais politiquement justifié

Lorsque le BSI a mis en garde contre l’utilisation du logiciel antivirus de Kaspersky après l’invasion russe de l’Ukraine, cela était principalement dû à des considérations politiques. Cela ressort de documents internes que Bayerischer Rundfunk et Spiegel ont reçus au sujet d’une demande de loi sur la liberté d’information.

Selon les rapports, les documents montrent la durée des discussions internes et l’implication du ministère fédéral de l’Intérieur. En tant qu’autorité de sécurité informatique, l’Office fédéral de la sécurité de l’information (BSI) relève du ministère de l’Intérieur. Un des problèmes : L’avertissement a été donné moins pour des raisons techniques et plus pour des raisons politiques.

Le 2 mars, un peu plus d’une semaine après le début de l’invasion russe, un comité de direction s’est réuni au sein du BSI, auquel a également participé le président du BSI, Arne Schönbohm. À ce moment-là, il semblait y avoir une volonté d’avertir le public à propos de Kaspersky. Il a été décidé lors de cette réunion de compiler « toutes constatations/raisons techniques » justifiant une telle démarche.

L’État russe comme un risque

Les raisons – qui sont également mentionnées plus loin dans l’avertissement – ​​sont les vastes possibilités offertes aux attaquants par les logiciels antivirus. Ceci est fondamentalement profondément enraciné dans le système et dispose d’autorisations étendues. C’est donc un « danger à venir » que des attaques sont à prévoir et Kaspersky n’a également aucune chance d’influencer positivement l’évaluation des risques par des « mesures techniques ou autres » – selon l’évaluation du BSI à ce jour. Ce fut le début interne. Cependant, le processus qui a finalement conduit à l’avertissement n’a pas été facile.

Un vote a eu lieu dans de nombreux cas, comme le montrent les documents. Par exemple, une référence interne a été faite au fait que les serveurs de Kaspersky avaient déménagé en Suisse. De plus, aucune lacune de sécurité technique n’a été identifiée à ce jour. Le BSI n’avait donc aucune indication concrète de vulnérabilités comme une porte dérobée dans le logiciel Kaspersky.

Cependant, le manque de confiance dans l’éloignement de l’État reste problématique. L’emplacement des serveurs n’a pas d’importance, le facteur décisif est de savoir qui peut injecter du code. Et Kaspersky appartient à des citoyens russes, les employés ont également de la famille en Russie. L’entreprise est donc « exposée à l’influence directe et à la pression des autorités », selon le rapport du Bayerischer Rundfunk. Ainsi, le gouvernement russe peut détourner le logiciel et obtenir un puissant outil d’attaque.

Un technicien en cryptographie explique dans la correspondance interne que la tâche du BSI est de protéger l’infrastructure informatique allemande des attaques. « Nous n’avons pas à attendre la survenue possible et probable d’un tel événement », cite Der Spiegel de la lettre interne. Parce qu’il s’agit d’un « positionnement stratégique », la suite de la procédure a apparemment été étroitement coordonnée avec le ministère de l’Intérieur. L’avertissement public a ensuite suivi le 15 mars, ce qui est particulièrement pertinent pour les entreprises et les opérateurs d’infrastructures critiques. Kaspersky – qui lui-même avait auparavant approché le BSI – n’a guère eu le temps de commenter à l’avance.

Peut-être que le BSI aurait dû mettre en garde contre les logiciels russes en général

Cependant, on ne sait toujours pas dans quelle mesure le BSI est autorisé à procéder de cette manière. L’avertissement a d’abord été décidé, puis la recherche des raisons a commencé. C’est ainsi que le BSI a travaillé sur la base du résultat, explique Dennis-Kenji Kipker, professeur de droit de la sécurité informatique à l’Université de Brême, dans Der Spiegel. Selon lui, cela contredit cependant le mandat du BSI qui, selon la loi BSI, doit travailler sur la base des connaissances scientifiques et techniques. Cela signifie : d’abord l’analyse, puis la décision d’émettre ou non un avertissement.

Selon Kipker, le BSI n’aurait dû mettre en garde que contre les produits russes en général car il n’y avait aucun indice technique. Dans un article sur le portail juridique LTO, il précise la critique. Fondamentalement, la question se pose – encore une fois – dans quelle mesure le BSI est suffisamment objectif en tant qu’autorité de sécurité informatique. Si des avertissements sont émis en coordination avec le ministère fédéral de l’Intérieur pour des raisons géopolitiques, cela affaiblit la confiance dans les analyses techniques de l’autorité. Ceci s’applique également, par exemple, au traitement des failles de sécurité signalées concernant le cheval de Troie d’état.

Avec les dernières découvertes de l’avertissement BSI sur Kaspersky, nous devons conclure si notre architecture de cybersécurité est vraiment bonne. Les inquiétudes des entreprises concernant le partage d’informations sensibles avec le BSI/BMI ne sont pas sans fondement. J’écris à ce sujet dans le LTO https://t.co/yc4PIolrn7

– Prof.Dr Dennis-Kenji Kipker (@Dennis_Kipker) 5 août 2022

Selon Kipker, avec les conclusions des documents qui ont maintenant été publiés, il est maintenant également ouvert si l’avertissement restera dans la procédure principale. Interrogé par Spiegel, le BSI lui-même a dit que c’était vrai. L’autorité se réfère également à la décision de justice existante.

Articles similaires

Bouton retour en haut de la page