Le célèbre éditeur russe de logiciels antivirus, Eugène Kaspersky, répond aux accusations évoquant une collaboration avec les services russes. / Shannon Stapleton / REUTERS

La société russe Kaspersky, l’un des principaux éditeurs de logiciels antivirus au monde, a été accusée, la semaine dernière, dans plusieurs articles de la presse américaine d’avoir été utilisée pour espionner les agences de renseignement américaines. Entretien avec son fondateur, Eugène Kaspersky, qui nie toute collusion avec les services de renseignement russe.

Il y a toujours eu de la méfiance et des accusations de collusion avec la Russie à l’encontre de Kaspersky. Pourquoi cela a-t-il pris une dimension inédite récemment ? Est-ce lié au contexte politique russo-américain ?

Je ne pense pas, notre entreprise n’est pas assez grande pour être utilisée dans ces turbulences politiques. Il y a sans doute plusieurs raisons derrière ces accusations, et peut-être que la situation politique est l’une d’entre elles.

Le principe des antivirus est d’analyser les fichiers sur les ordinateurs de ses utilisateurs. Les articles récemment publiés affirment que c’est cette fonction qui a été utilisée par le renseignement russe pour acquérir des documents confidentiels.

Nous n’avons aucune coopération secrète avec aucune agence de renseignement dans le monde, ni en Russie ni ailleurs. Nous n’aidons aucun pays à faire de l’espionnage. Lors de notre recherche de fichiers malveillants [sur un ordinateur], en cas de détection de programmes dangereux qui viennent de faire leur apparition sur Internet, nous les envoyons dans le cloud [sur les serveurs de Kaspersky] si notre produit est connecté à ce service, et seulement dans ce cas. Si notre produit n’est pas connecté au cloud que nous fournissons, nous ne voyons rien.

La plupart d’entre eux sont analysés automatiquement et stockés dans nos archives. Dans certains cas, ces données arrivent dans les mains de nos chercheurs. Et ces experts ont des instructions très strictes : s’il y a la moindre information classifiée, de quelque pays que ce soit, qui a été envoyée dans le cloud, cette information est supprimée.

Même si le fichier en question est un programme malveillant dont vous êtes censé protéger vos clients ?

Les programmes malveillants ne peuvent pas être classifiés.

Laisserez-vous les autorités américaines regarder votre code source ?

Je l’ai dit à de nombreuses reprises : mon entreprise est ouverte à un audit, pas seulement au code source, mais aussi aux mises à jour que nous faisons. Nous avons des requêtes de certains pays, et nous y accédons. Nous l’avons fait récemment au Brésil, en août. Ils sont venus dans nos locaux et ont inspecté notre code. Toutes les portes étaient ouvertes.

Nous travaillons activement sur un Transparency Center qui sera basé dans un pays d’Europe occidentale. Nous allons y mettre à disposition notre code source et nos bases de données pour inspection. Tout gouvernement ou organisation respectée qui aura une question sur nos produits seront les bienvenus. Ce centre va prouver que tout est en ordre dans nos produits, technologies, mises à jour, services…

Où se trouvera ce Transparency Center ?

Il se trouvera dans un des pays européens qui a la législation la plus stricte en matière de données personnelles. Pour être honnête, le gagnant est votre voisin de l’Est ; l’Allemagne est bien connue pour sa législation en matière de données personnelles.

[Peu après notre entretien avec M. Kaspersky, ce lundi 23 octobre, l’entreprise a également annoncé la tenue, au premier trimestre 2018, dans ce Transparency Center, d’un examen du code source par une « autorité internationalement reconnue », sans préciser laquelle. Les procédures internes de l’entreprise et ses pratiques en matière de données seront également soumises à examen par un « tiers indépendant ». Deux autres Transparency Center seront ouverts d’ici 2020, l’un aux Etats-Unis, l’autre en Asie.]

Vous deviez témoigner devant le Congrès américain, mais vous n’êtes plus invité. Que s’est-il passé ?

L’audition aura lieu après-demain [mercredi 25 octobre], mais nous ne sommes pas invités. Ils ne nous ont pas dit pourquoi, nous n’avons aucune information ; je ne comprends pas ce qui se passe. De grands médias américains ont publié de fausses accusations contre notre entreprise, sans aucune preuve. Cette attaque est disproportionnée par rapport à notre taille : notre part de marché n’est pas si importante, nous sommes juste une entreprise de sécurité informatique. Je ne comprends pas pourquoi on parle tant de mon entreprise, et surtout pourquoi maintenant.

Si le Congrès américain vous invite à nouveau, accepterez-vous ?

Si je suis invité, j’irai.

Et qu’y direz-vous dans ce cas ?

Nous sommes très intéressés par tout fait, toute preuve qui étaierait les accusations qui sont faites contre Kaspersky. Je suis sûr, presque à 100 %, qu’il n’y a aucun problème de sécurité dans mon entreprise : nous faisons des audits de sécurité, à la fois pour nos logiciels et nos mises à jour, et nous n’avons détecté aucun problème. Mais s’il y a un problème, je veux en discuter. Je ne veux pas qu’un pays soit mécontent de mon entreprise et de ses produits. Nous protégeons nos clients contre les cybermenaces, et nous voulons que tous les gouvernements, toutes les entreprises comprennent cela. Nous sommes ouverts à la discussion et aux questions. Posez-les nous ! Montrez-nous des preuves de ce qui ne va pas avec Kaspersky.

Etes-vous sûr de ne pas avoir été piraté ? Plusieurs articles, citant des sources différentes, évoquaient des piratages russes et israéliens qui auraient touché votre réseau interne.

Chaque année, nous auditons notre réseau, nous simulons des attaques. Désormais, il est impossible de pénétrer notre réseau sans être détecté. [Kaspersky a reconnu en 2015 avoir été piraté par un acteur étatique.]

Est-ce que Kaspersky a ce genre de problème ailleurs qu’aux Etats-Unis ?

Nous n’avons ce genre de problème qu’aux Etats-Unis. Nous nous attendons à une croissance négative dans ce pays, mais dans le reste du monde nous sommes en croissance. Cette tension avec les Etats-Unis n’affecte pas notre activité.

Parmi vos soutiens, certains disent que cette affaire pourrait être une forme de représailles, car vous avez enquêté sur des groupes très vraisemblablement liés aux Etats-Unis, comme le groupe Equation. Est-ce une sanction ?

Je ne veux pas m’approfondir sur les scénarios possibles. Je ne sais pas, mais la question c’est pourquoi maintenant ? Et pourquoi pas avant ? Nous travaillons sur les attaques étatiques depuis des années, d’abord il y a eu Stuxnet [logiciel malveillant ayant visé le programme nucléaire iranien], puis Duqu [autre programme lié à Stuxnet], et beaucoup d’autres, depuis près de dix ans. Nous protégeons nos clients contre tous les types d’attaques étatiques.