Interview. Le Russe Eugene Kaspersky, l’un des experts mondiaux dans le domaine de la sécurité de l’information, révèle que des hackers savent pirater des voitures auto-pilotées. Qu’ils peuvent aussi s’en prendre à des ports, à l’Etat islamique autoproclamé et… à sa propre entreprise.
Propos recueillis par Marcel Rosenbach
Des voitures sont téléguidées par des hackers, des téléviseurs espionnent les appartements. Sommes-nous menacés par l’interconnexion croissante des objets?
L’ordinateur et sa connexion rendent ma vie de citoyen – et aussi d’entrepreneur – meilleure, plus efficace et plus variée. Dans l’ensemble, il produit moins d’erreurs que nous: Homo sapiens est un système très ancien et très fragile. Mais les ordinateurs ont aussi leurs faiblesses, ils sont vulnérables. Si des hackers peuvent conduire une voiture au fond du ravin à l’aide d’un simple ordinateur portable, nous avons un problème. Dans les transports, il en va de vies humaines. Il faut maîtriser la situation au plus tard d’ici à ce que des voitures autopilotées soient mises en circulation.
N’est-ce pas un peu tard?
Mais c’est réaliste, je le crains. Les systèmes de pilotage utilisés actuellement ont été développés en un temps où les cyberattaques raffinées n’existaient pas encore. Les cycles de production des modèles de voiture s’étendent sur plusieurs années. Dans un contexte incertain, on ne peut se contenter de mettre à jour la sécurité. Elle devra être d’emblée intégrée au véhicule. Nous vivons encore au Moyen Age de la cybersécurité, nous devons repenser ou réinventer les systèmes vraiment critiques. Ce sera difficile, car le constructeur qui accorde à la sécurité une priorité très élevée produira trop cher et trop lentement, il perdra de la compétitivité et devra donc accepter des compromis.
Ce n’est pas très rassurant, d’autant moins qu’au printemps, un expert américain en IT a affirmé avoir manipulé les systèmes de pilotage d’un Boeing de ligne en vol.
Là, on n’en a pas la preuve. Il est possible, sans grande difficulté, de pirater l’offre de divertissement à bord, mais elle est séparée des systèmes de pilotage critiques. Dans le trafic aérien, à ce jour, ce sont plutôt des erreurs d’ordinateur classiques qui suscitent des problèmes, comme dans le cas de l’appareil de la Spanair qui, en 2008, s’est écrasé peu après le décollage. Le 7 novembre dernier, l’aéroport de Paris-Orly a dû être fermé en raison de la défaillance d’un logiciel météo et, à cette occasion, on a su que le logiciel complètement désuet Windows 3.1 y était toujours en usage!
Vous travaillez sur des scénarios futuristes, dans lesquels même les corps seraient connectés. Vous avez présenté à Berlin une micropuce que l’on implante sous la peau et qui permettra un jour de faire des paiements ou de déverrouiller une porte. Quand verrons-nous le premier humain piraté?
En l’occurrence, on a encore affaire à des prototypes très simples, mais le développement se poursuit, et ces implants deviendront toujours plus intelligents. C’est la prochaine étape logique après les technologies portables comme l’Apple Watch. Il existe aujourd’hui déjà des implants médicaux pour lesquels je vois le risque que leurs données puissent être détériorées. J’avoue que, personnellement, je préférerais ne pas me faire implanter une puce, et j’espère bien ne pas vivre ce genre de progrès… Mais on y arrivera, j’en suis convaincu.
Quelles tendances observez-vous dans la cybercriminalité?
Elle se professionnalise de plus en plus. Elle n’a plus rien à voir avec la petite criminalité «de rue», à l’affût d’une occasion de dévaliser quelqu’un. Il y a peu, on pouvait encore clairement distinguer entre les outils des criminels et ceux des agences de renseignement des Etats. Mais la distinction se fait floue. En outre, le crime organisé engage des hackers pour ses besoins.
Vous avez des exemples précis?
Un cartel de la drogue a convaincu des hackers d’infiltrer la logistique de transbordement du port d’Anvers. Il a pu ainsi localiser pas à pas un conteneur chargé de drogue et finalement filer avec. Le système d’exploitation d’une mine de charbon a également été piraté, de manière qu’il livre des données de poids maquillées: les criminels ont pu mettre de côté d’énormes quantités de minerai et le vendre pour leur compte.
Y a-t-il des exemples où des terroristes recourent à la Toile pour des cyberattaques?
Je crains que si la mafia peut embaucher des hackers de talent pour ses besoins, les terroristes ne puissent le faire aussi.
Le mouvement Anonymous a déclaré la guerre à l’Etat islamique. Qu’en pensez-vous?
Pas grand-chose. Pour l’heure, sur la Toile, je ne vois de l’EI que des sites web et une quantité de comptes sur les médias sociaux servant à sa propagande. Là, c’est aux autorités étatiques et aux exploitants de réseaux sociaux d’intervenir. Il n’y a pas besoin d’Anonymous pour ça.
Il y a quelques mois, votre entreprise a publié un rapport sur le programme Carbanak, qui aurait permis de piller près d’un milliard de dollars dans des banques, sur le marché des devises, et même dans les casinos de Las Vegas, puis de les transférer sur des comptes aux Etats-Unis et en Chine. Que s’est-il passé depuis?
Nous savons désormais qu’un groupe international de cybercriminels est dans le coup, dont beaucoup parlent russe, hélas. La mauvaise nouvelle est que Carbarnak existe toujours. La bonne est que la police russe et le département compétent de la Sécurité intérieure russe ont arrêté ces derniers mois de nombreux suspects. Dans un cas, ils ont découvert un local dont le sol était tapissé de liasses de roubles et de dollars. Mais je n’ai pas le droit d’en dire plus, car l’enquête se poursuit.
Les entreprises américaines tentent de plus en plus d’éliminer elles-mêmes les agresseurs. Un rapport invitait le Congrès à autoriser de tels «hack-back». Qu’en dites-vous?
On est là sur une pente savonneuse que, personnellement, je me garderai de prendre. Une telle autorisation ne devrait être accordée que dans le cas où une entreprise est attaquée à partir de son propre pays, où le législateur national est habilité à légiférer. Or, la plupart des attaques sont trans-frontalières. En outre, il est d’usage de laisser de fausses traces. Que se passera-t-il si le «hack-back» atteint un innocent? Cela pourrait aisément dégénérer en guerre économique.
Cette année, l’entreprise Kaspersky a elle-même été piratée. Ce n’est pas une bonne publicité…
Ce n’est en tout cas pas un scandale, et cela peut se produire pour n’importe quelle société ou institution. Sauf qu’à part nous, personne n’aurait sans doute éventé une technique de piratage aussi affûtée. Les agresseurs savaient en tout cas à qui ils avaient affaire. Ils ont investi énormément de temps et d’argent dans l’attaque, plusieurs millions dans leur devise nationale…
… donc des shekels israéliens, car ils ont utilisé la même technique raffinée pour s’en prendre aux hôtels où se déroulaient les négociations sur le nucléaire iranien et à d’autres cibles.
En tout cas, ce n’étaient pas des Russes. Ils ne se sont intéressés qu’au travail des spécialistes du laboratoire des virus et à celui de mes collègues qui analysent des logiciels d’espionnage. Ils ne visaient pas des données de clients, nos finances ou nos courriels. Le contexte était clairement politique. Comme si quelqu’un avait voulu s’assurer que nous n’étions pas justement en train de démasquer son arsenal d’agression.
La situation géopolitique ne vous a pas été favorable ces temps. Vous êtes une entreprise russe et travaillez étroitement avec la police et la Sécurité intérieure, le FSB.
Nous coopérons avec des services de sécurité dans le monde entier, mais il est vrai que nous avons perdu quelques mandats. Nos marchés les plus importants sont en Europe de l’Est et, en l’occurrence, nous avons eu cette année un autre problème: le cours du dollar y a presque anéanti notre croissance. Nous comptabilisons en dollars mais payons en euros.
© Der Spiegel Traduction et adaptation Gian Pozzy
Profil
Eugene Kaspersky
Eugene Kaspersky, 50 ans, a fondé et dirige, à Moscou, Kaspersky Lab, une entreprise spécialisée dans la sécurité des systèmes d’information à l’échelle mondiale. Les utilisateurs connaissent surtout Kaspersky pour ses programmes antivirus. La société contribue aussi considérablement à l’analyse de cyberarmes sophistiquées comme Stuxnet et Duqu. Elle soutient les autorités dans leur traque aux cybercriminels.
