Le tribunal administratif de Cologne a décidé que l'Office fédéral de la sécurité de l'information (BSI) peut mettre en garde contre les logiciels de protection antivirus de Kaspersky. Le tribunal administratif de Cologne s'en est prononcé aujourd'hui et a ainsi rejeté la demande en référé d'une société du groupe Kaspersky basée en Allemagne.
Le 15 mars 2022, l'Office fédéral de la sécurité de l'information (BSI) a publié un avertissement indiquant que la fiabilité du fabricant russe Kaspersky était remise en question par les activités guerrières actuelles de la Russie et recommandait de remplacer le logiciel antivirus Kaspersky par des produits alternatifs.
Kaspersky demande une injonction
Le 21 mars 2022, Kaspersky Labs GmbH, qui vend des produits antivirus du fabricant russe, a demandé une injonction de cesser et de s'abstenir et de révoquer cet avertissement. Elle a expliqué qu'il s'agissait d'une décision purement politique sans rapport avec la qualité technique du logiciel de protection antivirus.
L'avertissement aurait dû être purement politique
Il n'y a pas de faille de sécurité dans le sens d'une vulnérabilité technique connue. Rien n'indique non plus que des agences gouvernementales russes influencent Kaspersky. En outre, diverses mesures ont été prises pour accroître la sécurité et la transparence des données.
Le tribunal n'a pas suivi cela. Le législateur a largement formulé la notion de faille de sécurité qui autorise le BSI à émettre un avertissement. Le logiciel de protection antivirus remplit fondamentalement toutes les exigences d'une telle faille de sécurité en raison des autorisations étendues d'accès au système informatique respectif. Le fait que leur utilisation soit néanmoins recommandée repose uniquement sur le haut degré de confiance dans la fiabilité du fabricant. Il y a donc une faille de sécurité si le haut niveau de confiance requis envers le fabricant n'est pas (ou plus) garanti.
Le manque de confiance est perçu comme une faille de sécurité
C'est actuellement le cas de Kaspersky. La société a son siège à Moscou et y emploie un grand nombre de personnes. Compte tenu de la guerre d'agression russe en Ukraine, qui est également menée comme une « cyberguerre », on ne peut pas exclure avec une certitude suffisante que les développeurs russes exploitent les possibilités techniques des logiciels de protection antivirus pour les cyberattaques contre des cibles allemandes. de leur propre initiative ou sous la pression d'autres acteurs russes.
Kaspersky pourrait être utilisé à mauvais escient comme logiciel d'attaque
On ne peut pas non plus supposer que les acteurs étatiques en Russie respecteront les lois de manière constitutionnelle, selon lesquelles Kaspersky n'est pas obligé de transmettre des informations. De plus, les restrictions massives de la liberté de la presse en Russie au cours de la guerre avec l'Ukraine ont montré que la base juridique correspondante peut être créée rapidement. Les mesures de sécurité citées par Kaspersky n'offrent pas une protection suffisante contre l'ingérence de l'État.
L'influence de l'État n'est pas exclue
Il ne peut être exclu que des programmeurs basés en Russie puissent accéder aux données d'utilisateurs européens stockées dans des centres de données en Suisse. En revanche, un contrôle permanent du code source et des mises à jour semble pratiquement impossible en raison de la quantité de données, de la complexité du code du programme et de la nécessaire fréquence des mises à jour.
Les personnes concernées peuvent former un recours contre la décision, qui sera tranchée par le tribunal administratif supérieur de Münster. Réf. : 1 L 466/22
Plus sur VG-Koeln.nrw.de