Best of: Interview expert en sécurité Mikko Hypponen: ‘Il n’existe absolument aucune règle pour la cyber-guerre’
‘Le timing aurait pu être meilleur, mais nous y travaillons depuis longtemps déjà’, déclare l’expert en sécurité Mikko Hypponen que Data News a rencontré à propos de la scission de son entreprise F-Secure, mais aussi au sujet des pirates d’Etat et de la cyber-sécurité en Ukraine.
F-Secure est scindée depuis cette semaine. L’appellation F-Secure bien connue poursuit ses activités en tant que marque à la consommation, mais les grandes firmes pourront désormais se tourner vers WithSecure pour obtenir des conseils spécialisés. Cette dernière branche semble surtout cibler la consultance et la détection de menaces sophistiquées.
F-Secure opère depuis des années déjà dans la sécurité, y compris sur le plan de l’analyse et de la détection des menaces. Quelle est donc la raison de la scission?
Mikko Hypponen: Cela va nous permettre de nous focaliser davantage. La sécurité a radicalement changé. Je travaille chez F-Secure depuis 1991 déjà et au fil du temps, les menaces ont changé, les agresseurs ont changé, mais les solutions ont elles aussi changé. On observe que les consommateurs et les petites entreprises sont tout à fait différents des grandes firmes et que les solutions que nous leur proposons, doivent aussi être à l’avenant. Les grandes firmes mondiales doivent se faire du souci à propos des états-nations et des attaques très ciblées. Cela exige une approche spécifique de la part de notre département R&D. Nous disposons donc à présent de deux entités, dont une se focalise sur les consommateurs avec une marque qui existe et est connue depuis des années déjà. Par ailleurs, nous avons WithSecure, qui est une nouvelle marque qui ne doit plus s’adresser aux consommateurs.
Les PME font néanmoins partie des entreprises qui sont le plus souvent la cible d’attaques, comme il ressort d’une récente enquête. Cette menace est-elle dès lors si différente?
Hypponen: C’est surtout une question de targeting, de ciblage des attaques. Les hackers qui attaquent beaucoup d’utilisateurs domestiques et de PME, sont en général simplement à la recherche d’une victime, quelle qu’elle soit. Ils scannent par exemple des ports vulnérables, s’attaquent à toute une base de données de mots de passe fuités et aboutissent ensuite par hasard chez vous. Il s’agit là d’agresseurs opportunistes qui sont contents de trouver n’importe quelle victime. S’en défendre est plus facile que lorsqu’ils veulent vous attaquer personnellement. Votre défense doit simplement être meilleure que le reste. Ils ne s’en prennent pas spécifiquement à vous et donc, s’il leur est plus malaisé de s’introduire chez vous, ils passent simplement à une autre victime.
‘Pour les agresseurs opportunistes, votre défense doit être simplement meilleure que le reste’
En cas d”advanced persistent threat’ (APT), c’est surtout le ‘p’ qui est important. Il s’agit d’une attaque en continu, dont vous êtes la victime. Les APT les plus complexes proviennent d’état-nations, car ce sont souvent des organisations militaires qui reçoivent et exécutent les ordres. Et l’ordre qu’elles reçoivent, est: ‘Introduisez-vous dans telle entreprise, volez-y des données et rentrez avec un rapport’. Elles ne vont pas rapidement changer d’avis et aller voir ailleurs, si cela ne marche pas. Si une approche ne réussit pas, elles en essaient une autre. Voilà pourquoi il est si difficile de se défendre contre ces attaques. En tant qu’entreprise, nous possédons une grande expérience dans la manière de réagir aux attaques contre de grandes entreprises, y compris dans l’industrie automobile et en aéronautique par exemple, mais nous ne disposons pas du ‘branding’ ad hoc pour ce type de public. Nous sommes encore souvent associés à de l’antivirus, ce qui est évident, mais nous avons également tout ce qu’il faut pour aider les grandes firmes à contrer les attaques ciblées. Voilà pourquoi c’était le moment propice de se scinder.
Avec WithSecurity, allez-vous surtout miser sur l”incident response’?
Hypponen: Il s’agit là d’une partie importante de ce que nous faisons. Nous possédons aussi des produits – pensez à tout ce qui est ‘managed detection and response’ pour les grandes entreprises, la protection des terminaux, la sécurité pour le nuage et les serveurs, etc. Mais à côté de cela, il y a une grande part de consultance. Nous aidons les entreprises en principe à sécuriser davantage leurs propres produits. Nous croyons que chaque entreprise est un éditeur de software. Surtout les grandes firmes qui fabriquent leurs propres produits, ce qui doit se faire de manière sécurisée. Nous pouvons les aider sur ce plan. Nous pouvons garantir que les produits qu’elles fabriquent, sont sûrs. Et nous pouvons aussi les tester et préciser quels problèmes nous avons rencontrés lors de tentatives de les pirater. Il en va de même du reste pour le hardware. Nous prodiguons par exemple des conseils à l’industrie automobile à propos des puces et des logiciels qu’elle développe.
Dans votre communiqué de presse, vous promettez qu’avec WithSecure, les entreprises ne sentiront pas d’effets sérieux d’une cyber-attaque. Que voilà une déclaration audacieuse quand on sait que surtout avec les ATP, il existe toujours un risque d’intrusion.
Hypponen: Notre position n’est par conséquent pas que vous ne serez jamais piraté. Mais ce que nous promettons, c’est de découvrir l’intrusion et de pouvoir y réagir. Et si vous êtes suffisamment rapide, vous ne devriez pas subir trop de dommages. Nous ne pouvons évidemment pas repousser chaque attaque, mais avec la technologie que nous développons à présent, nous sommes capables de les détecter. C’est là où beaucoup d’entreprises passent à côté par manque de visibilité. Peu savent ce qui se passe et à quoi ressemble la situation ‘normale’. Et si on l’ignore, on ne peut se rendre compte que quelque chose d’anormal se manifeste. Nous y travaillons depuis très longtemps déjà. Nous avons commencé en 2005 avec du logiciel et l’apprentissage machine en vue de détecter des situations bizarres. Or quelque chose de rare peut tout aussi bien s’avérer inoffensif que dangereux, mais le plus important, c’est que ce soit anormal.
‘Nous ne pouvons évidemment pas repousser chaque attaque, mais avec la technologie que nous développons à présent, nous sommes capables de les détecter.’
Je vais vous donner un exemple d’un incident qui s’est récemment produit chez un client. Nous avions depuis quelques mois déjà une vision de son réseau et avons reçu la notification qu’au beau milieu de la nuit, deux ordinateurs portables furent subitement activés et se mirent à envoyer des giga-octets de données à une adresse IP en Chine. C’était un fait rare. Voilà pourquoi nous avons appelé l’entreprise pour expliquer qu’il y avait une possible exfiltration de donnés. Le client a examiné l’incident et nous a expliqué que nous nous étions trompés. L’un de ses chefs de projet était en retard à propos d’une présentation et était venu au bureau à quatre heures du matin pour envoyer encore rapidement des dessins à un client chinois. Mais même s’il ne s’agissait pas d’un piratage, l’entreprise était ravie de notre intervention. C’était une anomalie et donc, il était à coup sûr intéressant de l’examiner de plus près.
Vous dites que les états-nations sont les agresseurs les plus complexes à contrer, mais ces dernières semaines, on observe aussi des groupes comme Lapsus$ qui font pas mal de dégâts dans de grandes entreprises. Les abordez-vous différemment que les états-nations?
Hypponen: Oui et non. D’une enquête que nous avons menée, il n’y a pas vraiment de différence. La principale divergence réside dans le fait qu’une fois qu’on dispose de preuves et de noms, on peut collaborer avec la police. Nous créons alors souvent un pack contenant des adresses IP, historiques, mots de passe permettant d’arrêter des criminels. Cela ne fonctionne évidemment pas avec les autorités, qui ne vont pas arrêter leurs propres agents.
Avec WithSecure, vous misez également sur une initiative pacifique numérique. Qu’est-ce que c’est en fait?
Hypponen: Notre siège principal se trouve à Helsinki, et nous avons ces dernières années et à coup sûr ces derniers mois évidemment suivi de près ce qui se passait chez notre grand voisin, la Russie. Nous aimons nous représenter un monde dans lequel les autorités ne se lancent pas des attaques mutuelles. La chance que tel soit le cas, est faible, et nous n’envisageons pas directement non plus un monde dépourvu d’armes réelles. Mais ce qu’on a, ce sont des règles à propos des outils qui peuvent être utilisés. Dans le monde réel, il existe des règles, selon lesquelles il est interdit de bombarder des hôpitaux par exemple ou de recourir à des armes chimiques. Ces règles ne sont certes pas toujours suivies, mais elles existent bel et bien.
‘Nous savons exactement qui a fabriqué les cyber-armes les plus connues, mais nous ne pouvons pas le prouver. C’est çà le problème’
Pour la cyber-guerre, il n’existe absolument aucune règle. Cela s’apparente actuellement au Far West. L’une des raisons pour lesquelles des cyber-armes sont fabriquées, c’est précisément parce qu’on ne peut nier leur existence. Les cyber-armes les plus connues, telles Stuxnet et Notpetya, nous savons exactement qui les a conçues, mais nous ne pouvons pas le prouver, et c’est çà le problème. Cela réduit la propension d’utilisation de ces armes. La propension d’envoyer un B52 armé de bombes au-dessus d’un pays, est importante, car tout le monde peut voir de quel avion il s’agit. Mais au niveau des cyber-armes, les autorités peuvent toujours continuer de nier qu’il se passe quelque chose. Nous voulons donc que des règles soient édictées. Il s’agira d’un très long processus, à l’instar de celui qui mena à l’établissement de règles dans le monde réel.
Quel est en fait l’impact de la guerre en Ukraine sur F-Secure en tant qu’entreprise finnoise et que firme de sécurité?
Hypponen: Bon, je me trouve pour le moment au siège de F-Secure à trois heures de route de la frontière russe. Cela fait partie d’un long historique qui a bien entendu un effet sur l’entreprise. Nous ne faisons actuellement plus d’affaires en Russie, mais ce n’était de toute façon pas un grand marché pour nous.
Mais vous voulez sans doute savoir si nous nous focalisons à présent davantage sur des attaques russes? La réponse est oui. Nous enregistrons davantage d’activités, mais nous analysons aussi tous les aspects de ce conflit. Donc aussi les actions d’agresseurs indépendants comme Anonymous par exemple qui vont alors attaquer la Russie, parce que c’est pertinent pour nos clients. Ces attaques se limitent rarement au champ de bataille proprement dit.
Et à quoi ce champ de bataille ressemble-t-il?
Hypponen: A mon avis, l’Ukraine possède l’une des meilleures protections dans le cyberespace. Supérieure même à celle de l’Allemagne, des Pays-Bas ou de la Finlande, ce qui est étonnant dans la mesure où ce n’est pas un pays riche. Mais il y a une explication claire. Nos organisations et autorités s’exercent pour se défendre contre les attaques, mais l’Ukraine, elle, elle est réellement occupée depuis des années déjà à combattre les cyber-attaques qui y sont constamment lancées. Cela la rend différente et fait en sorte que même avec des budgets plus restreints et ses systèmes hérités souvent anciens, ce pays fait partie des meilleurs dans le genre. Tout simplement grâce à sa très grande expérience.
Et puis, la volonté n’y manque pas non plus. Je parlais récemment encore avec le CIO d’une entreprise IT de Lviv, qui sait qu’une vingtaine de ses collaborateurs sont actifs dans le piratage. Cela peut sembler fou, mais c’est en Ukraine parfaitement légal de pirater l’ennemi en période de guerre. Et ce sont quasiment toutes des femmes, ce qui peut se comprendre. Les hommes doivent défendre leur pays sur le champ de bataille physique, alors que les femmes combattent dans le cadre de la cyber-guerre.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici