Eugene Kaspersky, le fondateur et dirigeant de l'entreprise du même nom, le 13 novembre à Zurich. / Le Monde

Pour fuir les conflits, il faut se réfugier en Suisse. C’était vrai au XXsiècle, cela le demeure aujourd’hui même lorsqu’ils sont devenus numériques. « Nous n’avons pas pris la fuite ! », martèle, cependant, Eugene Kaspersky, l’exubérant fondateur et dirigeant de l’entreprise de sécurité informatique à son nom, droit dans ses bottes sur l’épaisse moquette d’un hôtel de luxe de Zurich.

Mardi 13 novembre, Kaspersky, le géant russe de la cybersécurité, y présentait devant clients, experts et journalistes, ses premières actions en matière de « transparence ». Le début, en l’occurrence, du rapatriement des données de certains de ses clients dans des serveurs basés en Suisse. Loin, en théorie, de la suspicion qui entoure les liens entre l’entreprise russe et le Kremlin.

Kaspersky est empêtré depuis plus d’un an dans un feuilleton aux relents de guerre froide

Car Kaspersky est empêtré depuis plus d’un an dans un feuilleton politico-médiatique aux relents de guerre froide. Les Etats-Unis, et dans leur sillage certains alliés, accusent le fournisseur d’outils de protection informatique d’être une taupe des services de renseignement russes. Concrètement, les logiciels antivirus de Kaspersky, qui disposent par nature d’un large accès aux données transitant dans les ordinateurs sur lesquels ils sont installés, seraient, avec la complicité de l’entreprise ou à son insu, utilisés par la Russie à des fins d’espionnage.

Ces accusations ont une conséquence directe sur l’entreprise, même si cette dernière rechigne à dire à quel point. Les Etats-Unis ont banni ses logiciels de tous les réseaux fédéraux. Récemment, les Pays-Bas ont fait de même. Il y a un an, Eugene Kaspersky avait promis une parade : un « centre de transparence » dans un territoire neutre. La seule solution, selon lui, pour tenter de lever le voile de la suspicion.

Des données en territoire « neutre »

Kaspersky a donc débuté le stockage et l’analyse des données de certains de ses clients en Suisse. Depuis des serveurs situés dans une zone commerciale sans âme que survolent les gros-porteurs en partance de l’aéroport de Zurich, tout proche. Le début d’un long processus, qui devrait s’achever d’ici à la fin de l’année prochaine et concerner les données de ses clients en Europe, puis aux Etats-Unis, au Canada et dans une poignée de pays asiatiques.

Zurich, un lieu idéal selon l’entreprise : il s’agit une grande ville bien connectée, au cœur d’un pays neutre disposant d’une robuste législation sur la protection des données. Bien loin de la Russie où la loi impose un accès direct par les autorités aux informations stockées. Parfait, selon Kaspersky, pour stocker et, le cas échéant, décortiquer les programmes informatiques louches que certains de ses clients partagent.

Cependant, il y a un « mais ». Les experts de Kaspersky basés à Moscou auront tout le loisir d’accéder à ces données, a confirmé au Monde le vice-président de Kaspersky pour les affaires publiques, Anton Shingarev. Difficile dans cette configuration d’écarter les craintes d’un noyautage ou d’un piratage de l’entreprise par les services russes, l’une des deux pistes qui pourraient expliquer pourquoi les Etats-Unis considèrent Kaspersky comme un cheval de Troie du Kremlin.

L’entreprise est formelle : aucun pirate, russe ou non, n’aspire les données de ses clients.

L’entreprise affirme, elle, avoir effectué un examen attentif de son réseau interne. Elle est formelle : aucun pirate, russe ou non, n’aspire les données de ses clients. Et Eugene Kaspersky l’a encore affirmé à Zurich : « Nous n’avons aucune pression du gouvernement russe. » A chaque fois qu’un employé russe accédera aux données stockées en Suisse, cette requête sera « stockée pour un éventuel examen » extérieur, affirme M. Shingarev.

« Transparence » du logiciel

Kaspersky veut aussi ouvrir, un peu, les portes du développement de ses logiciels, afin de dissiper les craintes que ces derniers comportent des fonctionnalités cachées. Elle a ainsi officialisé l’ouverture de son « centre de transparence », un lieu où autorités et entreprises peuvent demander à inspecter le code des logiciels de Kaspersky, et ainsi, théoriquement, détecter s’ils comportent une fonctionnalité dissimulée.

« J’invite les autorités françaises, en particulier l’Anssi [autorité française de la cybersécurité] à venir inspecter notre code », lance ainsi M. Shingarev. Là aussi, il sera difficile de convaincre les sceptiques. Inspecter le code source d’un logiciel aussi complexe qu’un antivirus requiert un investissement très lourd en temps (plusieurs mois) et en compétences que peu d’entreprises seront disposées à fournir. D’autant plus qu’une fonctionnalité espionne cachée par des ingénieurs compétents peut être très dure à détecter.

C’est en Suisse que l’entreprise entend procéder à l’assemblage final de ses logiciels, l’étape qui transforme le code source en logiciel fonctionnel.

D’autre part, Kaspersky affirme aussi avoir lancé un audit approfondi de ses méthodes de développement de logiciels, réalisé par une des quatre grandes firmes mondiales spécialisées, dont le nom n’est pas diffusé à ce stade. Enfin, c’est en Suisse que l’entreprise entend procéder à l’assemblage final de ses logiciels, l’étape qui transforme le code source en logiciel fonctionnel. Un moyen de prouver plus facilement que le produit que reçoivent ses clients correspond bien au code source et ne comporte pas d’éléments additionnels potentiellement indiscrets.

Un succès plus qu’incertain

Ces mesures relèvent, dixit les cadres de l’entreprise, de la « survie » : Kaspersky veut agir pour éviter le rouleau compresseur américain et combattre le doute qui prive l’entreprise de contrats et écorne son image. Pourquoi, alors, ne pas quitter Moscou ? « Nous sommes très, très heureux d’être en Russie, c’est une question économique », affirme Eugene Kaspersky, pour qui les développeurs russes, en plus d’être « les meilleurs du monde », ont l’avantage d’être bien moins onéreux que leurs homologues suisses.

Dans une affaire tentaculaire et floue qui mêle considérations techniques et enjeux géopolitiques, le tout dans la nébuleuse incertaine du cyberespace, la démarche entreprise par Kaspersky pour regagner la confiance réussira-t-elle ? Le résultat est plus qu’incertain : les limites de ces mesures annoncées à Zurich ne permettront pas de convaincre les puissances les plus sceptiques, notamment ceux qui savent l’emprise que peut avoir l’Etat russe sur ce type d’entreprise.

Les annonces de Kaspersky pourraient, cependant, rassurer d’autres pays moins inquiets. Ceux qui, dans le sillage de la France ou de l’Allemagne, demandent à voir des éléments tangibles avant de se prononcer. « Soyons réalistes : il y aura des gens qui nous croiront et d’autres pas », reconnaît M. Shingarev, à Zurich.