Interview d’Ivan Kwiatkowski - Chercheur au sein du GReAT

SDBR News : La menace cyber flambe t’elle autant que certains le laissent entendre sur les Assises**?

Ivan Kwiatkowski : Est-ce plus vrai que lors des précédentes éditions des Assises ? Ce n’est pas sûr, car j’ai l’impression que c’est répété chaque année. Nous nous attendions, comme beaucoup, à ce que la guerre en Ukraine change beaucoup de choses. Or, s’il y a eu des attaques un peu liées à cette situation géopolitique - dont l’attaque visant le 24 février dernier l’opérateur satellitaire Viasat (KA-SAT) en Ukraine - en termes de méthodologie des attaquants et de volume des attaques, nous n’avons pas constaté de rupture particulière. Nous avons le sentiment que les groupes d’attaquants qui existaient sont toujours présents et que certains se sont un peu réorientés en termes d’objectifs de renseignement mais, de manière générale, il n’y a pas eu de gros déplacements dans l’environnement du jour au lendemain.   

SDBR News : L’Ukraine n’était-elle pas, jusqu’en 2021, considérée comme un foyer de cyber-attaquants ?

Ivan Kwiatkowski : Je ne dirais pas cela mais, en effet, il y avait un écosystème est-européen qui existait et qui existe toujours, même si certains groupes se sont séparés du fait de la guerre en Ukraine. Donc les groupes cybercriminels continuent à exister et continuent à opérer comme si de rien n’était, voire même avec un plus grand sentiment d’impunité du fait qu’un certain nombre de coopérations internationales, qui pouvaient exister il y a quelques années, sont ajournées sine die.

SDBR News : Avec quel degré de certitude peut-on aujourd’hui attribuer une attaque ?

Ivan Kwiatkowski : Cela dépend car tout incident de sécurité est différent. Dans certains cas nous relevons des éléments techniques extrêmement parlants, voire probants, qui peuvent presque constituer des preuves numériques : zone d’où part l’attaque ou, dans de rares exceptions, service et ville d’où est partie l’attaque. Le problème est que nous travaillons sur des informations par nature ambigües et parcellaires, et quand bien même nous aurions toutes les informations sur une attaque, nous ne serions pas forcément capables d’en tirer une conclusion sure et limpide. Exemple : si nous trouvons un outil dont nous savons qu’il est exclusivement utilisé par un certain groupe d’attaquants, nous allons pouvoir en conclure que telle attaque est attribuable à tel groupe d’attaquants ; mais nous ne pouvons ignorer que l’outil ait pu aussi être récupéré par un autre groupe, lors d’une de leurs attaques, afin de s’en servir en faisant suspecter le premier groupe. Autre exemple, nous pouvons très bien voir les traces d’un attaquant sur une machine alors qu’il y en a quatre différents et ne pas voir les trois autres. C’est particulièrement vrai lorsque nous observons des postes de travail de VIP qui font l’objet d’attaques de différents endroits. Là où nous apportons toute notre expertise, c’est que depuis une dizaine d’années nous avons appris à connaitre tous ces groupes. Mais nous sommes toujours très prudents dans nos conclusions.

SDBR News : Vous avez animé un atelier aux Assises de la Cybersécurité où vous avez parlé d’éthique. Quel était votre message ?

Ivan Kwiatkowski : Nous nous retrouvons dans un écosystème qui évolue au milieu d’États qui peuvent avoir des relations conflictuelles et où nous rencontrons des clients. Donc, d’un coté nous dépendons de nos clients comme tout un chacun, mais nous pouvons aussi écrire des rapports qui peuvent les gêner parfois. La question est donc : comment préserver la relation avec nos clients et en même temps continuer notre travail objectivement, sans avoir à subir des pressions à caractère politique du fait de nos travaux de recherche sur la Menace ? Nous publions tout ce que nous trouvons auprès de nos clients abonnés et ils peuvent constater que la Menace vient de partout, de l’Est, de l’Ouest, d’Asie... Certains de nos concurrents américains ne publient jamais certaines attaques parlant anglais… Si certains acteurs décident de ne publier que ce qu’ils voient de la part de pays extérieurs à l’OTAN, le grand public ne peut plus comprendre ce qui se passe réellement. Kaspersky, souhaitant rester neutre, publie tout ce qui passe devant les yeux de ses analystes et alors les gens ont du mal à le croire, surtout en entendant la petite musique de certains « amis de l’écosystème ». Nos clients savent qu’actuellement aucun groupe de chercheurs ne leur donnera une vision exhaustive de ce qui se passe comme nous le faisons.

SDBR News : Quelle est selon vous la hiérarchie de la Menace que vous observez ?

Ivan Kwiatkowski : Tout dépend si nous parlons des entreprises ou des États. Concernant les entreprises, le ransomware reste la menace principale et, malgré la guerre, la cybercriminalité ne s’arrête pas. Nous entrons dans une ère difficile mondialement, avec un appauvrissement de certaines zones qui fera monter la criminalité et donc le cybercrime aussi. Comme monte un sentiment d’impunité lié aux tensions géopolitiques, avec une quasi impossibilité à faire extrader, le rançongiciel et l’extorsion ont un bel avenir. Toujours au sujet des entreprises, il faut distinguer celles qui travaillent dans le monde militaro-industriel et qui vont continuer à être confrontées au vol de secret, donc de données, mais aussi celles qui n’ont pas l’impression d’être stratégiques ou exposées, mais qui vont être ciblées pour atteindre leurs clients : c’est l’exemple de l’attaque de SolarWinds en 2020 qui a permis de rebondir sur des données du gouvernement américain entre autres. Concernant les États, les méthodes d’attaques n’ont pas changé, mais ce qui est nouveau c’est l’apparition d’attaques destructrices ou de sabotages pour lesquelles on ne sera pas forcément capables de les associer à des cyber-attaques : exemple Stuxnet en Iran ou l’Ukraine il y a quelques années avec NotPetya. Je suspecte, dès 2023, l’augmentation de ce type d’attaque contre des gouvernements, des infrastructures, des manifestations sportives, etc.

SDBR News : Qui sont les champions au hit-parade des attaquants ?

Ivan Kwiatkowski : Les effets d’une cyber-attaque sont évaluables en fonction de qui la perpètre et son succès reposera sur des critères différents selon le profil de l’attaquant. Un État sous sanctions internationales, qui vole du Bitcoin pour se financer ou en faisant de faux virements bancaires, ne mesurera pas son succès selon les mêmes critères qu’un État européen non soumis à sanctions, qui fait du renseignement en essayant de ne jamais être détecté. Chacun essayant d’atteindre son objectif, il nous est difficile d’effectuer un quelconque classement. En revanche, nous voyons bien que c’est extrêmement lié à la géopolitique : chaque État a sa propre stratégie qu’il met en œuvre notamment au travers de la Cyber, offensive et défensive.

SDBR News : Lors des Assises de la cybersécurité, je n’ai pas constaté d’avancées technologiques disruptives comme on dit. Et vous ?

Ivan Kwiatkowski : C’est « business as usual », ou statut quo, pourrait-on dire. Il n’y a pas eu de technologie disruptive en effet. Pour autant, je ne crois pas à une solution purement technologique sur la défense, parce que la différence entre un accès légitime et une attaque est purement sémantique. D’un point de vue machine, l’ordinateur ne sait pas ce qui est légitime et ce qui ne l’est pas. Par contre, il sait reconnaitre ce qui est anormal ou différent de la statistique, mais c’est tout. Le jugement « bon » ou « mauvais » est seulement humain, donc je pense qu’on n’arrivera jamais à enlever le regard humain des problèmes de cybersécurité. Il faudra toujours un analyste qui fasse le tri entre les levées de doute. Il n’y a rien de magique et le tout automatique a ses limites…

*https://www.kaspersky.fr

**Cette interview a été réalisée par Alain Establier, rédacteur en Chef de SDBR News, lors des 22ème Assises de la cybersécurité https://www.lesassisesdelacybersecurite.com

 Crédit photo : Kaspersky