Transparency center : le russe Kaspersky montre patte blanche à ses clients
2017, le gouvernement américain décide de bannir Kaspersky des ordinateurs des ses plus hautes instances, et a placé l'antivirus de la marque russe sur liste noire en 2020. Néanmoins, des entreprises américaines continuent de travailler avec Kaspersky. En 2022, c'est au tour de l'Allemagne de donner un avis défavorable à Kaspersky et d'encourager ses sociétés à changer de provider de cybersécurité. La raison : Washington et Berlin soupçonnent Kaspersky d'être au service du gouvernement russe. Selon eux, la compagnie transférait ses données clients vers les services de cybersécurité russes, même si à ce jour aucune preuve n'a été fournie.
Pour sa bonne foi, Kaspersky a créé la démarche GTI ou Kaspersky Global Transparency Initiative. Le GTI s'articule avec des data centers en Suisse, pays neutre, dans la banlieue de Zurich. Ces data centers sont au nombre de deux, et sont jumelés avec des transparency centers situés en Malaisie, en Espagne, en Italie, au Brésil, à Singapour, aux Etats-Unis, au Japon, aux Pays-Bas et en Suisse. Data center et transparency center fonctionnent en symbiose, l'un stockant les données des clients de Kasperksy et l'autre permettant d'y accéder mais offrant aussi d'autres possibilités.
Le data center, clé de la transparence
Nous avons pu nous rendre au cœur du Data Center Zurich City, tenu par la société Green. Physiquement, le data center se trouve dans les étages souterrains de l'installation. Et le moins que l'on puisse dire est qu'il est à l'état de l'art. Tout objet comme les ordinateurs centraux, les baies de stockage et les équipement réseaux sont minutieusement dépoussiérés, car une accumulation de poussières pourrait nuire au bon fonctionnement du data center. Pour les visiteurs, pas de dépoussiérage mais nourriture, boisson, et tout objet plus grand qu'un smartphone doivent être laissé avant de pénétrer au cœur du data center.
Pour protéger le data center, il existe plusieurs systèmes et notamment une salle de gestion du climat dont l'objectif est de diminuer l'humidité à 7%. Le refroidissement s'opère via des grilles d'aération qui, par un astucieux procédé, expulsent l'air chaud vers la banlieue environnante et permettent de chauffer 35 000 maisons avant de récupérer l'air froid. Ce système est doublé d'une cuve d'eau qui, en cas d'urgence, permettrait de refroidir le data center. Il faut ajouter à cela quatre refroidisseurs qui ont pour mission de fonctionner en cas de panne électrique du système de refroidissement.
Tous ces systèmes ne tiendraient pas sans énergie. Celle-ci vient d'une centrale hydraulique voisine et en cas de perte de cette source d'énergie, toute une stratégie est mise en place. Pour commencer, des batteries de secours s'allument, capables de tenir 12 minutes, le temps que les générateurs de secours entrent en action. Ces derniers ont une puissance de 200 chevaux, alimentés par carburant. Des réserves de carburant sont stockées sur site et une chaine d'alimentation est prévue pour maintenir le site opérationnel.
Tous ces dispositifs sont mis en place pour protéger les données des clients non-russes de Kaspersky. Dans ces data centers suisses, elles sont en terrain neutre et profitent d'une des législations les plus fortes en termes de protection des données. Les données des clients de Kaspersky stockées ici sont donc protégées d'une possible saisie de la part de l'Etat russe, ce que redoutent les Etats-Unis et l'Allemagne. Pour rassurer encore plus ses clients, Kaspersky a jumelé des transparency centers avec ces datas centers.
Comment fonctionne un transparency center ?
Un transparency center n'est pas un grand édifice, il s'agit en fait d'une pièce d'une quarantaine de m² dans un bâtiment en périphérie de Zurich pour celui installé en Suisse. Le plus important dans cette pièce sont les deux ordinateurs. On peut s'y connecter pour accéder au cœur de Kasperksy : les codes sources de l'intégralité des produits de la marque. Si vous souhaitez effectuer cette procédure, il est mieux de venir avec quelqu'un de votre service DSI ou RSSI pour bien analyser les lignes de codes. Les clients peuvent ainsi vérifier qu'aucun produit Kaspersky ne possède une back-door ou un spyware. De plus, les produits Kaspersky passent régulièrement des audits auprès de tiers pour assurer à leurs acheteurs qu'ils ne possèdent pas de fonctions cachées.
Cette politique de Kaspersky est une première, car cybersécurité et transparence sont rarement liées. Mais pour rassurer ses clients, Kaspersky n'a plus d'autre choix que de jouer cette carte au maximum.