Des détectives virtuels en chasse dans la forêt obscure du Web pour traquer les criminels
Rechercher
Interview

Des détectives virtuels en chasse dans la forêt obscure du Web pour traquer les criminels

En étudiant les cyber-attaques passées, vous apprenez comment déjouer les nouvelles, dit le directeur de recherche de Kaspersky Lab

Costin Raiu, Directeur de l'équipe de recherche et d'analyse globale à Kaspersky Lab durant une visite à Jérusalem, le 14 juin 2017 (Crédit : Shoshanna Solomon/Times of Israel)
Costin Raiu, Directeur de l'équipe de recherche et d'analyse globale à Kaspersky Lab durant une visite à Jérusalem, le 14 juin 2017 (Crédit : Shoshanna Solomon/Times of Israel)

Costin Raiu, chercheur, aime se qualifier de détective – mais le terme qu’il favorise réellement est celui de « cyber-paléontologue ». Raiu dirige une équipe au sein de l’entreprise russe de cyber-sécurité Kaspersky Lab et, ensemble, ses membres explorent internet, étudiant les virus et les cyber-attaques avec pour objectif de toujours mieux contrer la suivante.

« Chaque jour est différent du précédent – chaque jour, vous trouvez quelque chose de nouveau », a déclaré Raiu, 40 ans, au début du mois lors d’un entretien accordé au Times of Israël dans le nouveau centre de Recherche & Développement ouvert par la firme à Jérusalem.

Il y a des « trucs sympas » à chercher en permanence, explique-t-il. « C’est un peu un mélange d’une activité de détective – beaucoup de ça – et également beaucoup de ce que j’appelle la ‘paléontologie’ pour la recherche des os. Comme les archéologues lors des fouilles, on tente de trouver des squelettes – ou des bêtes ».

En étudiant les cyber-attaques précédentes et les indices laissés par leurs auteurs, a-t-il ajouté, vous apprenez à vous protéger contre les nouvelles – tout comme les paléontologues et les archéologues qui comprennent le présent en dévoilant les secrets du passé.

Suivi de la propagation de l'attaque informatique WannaCry à l'Agence coréenne d'internet et de sécurité (KISA), à Séoul, le 15 mai 2017. (Crédit : Yonhap/AFP)
Suivi de la propagation de l’attaque informatique WannaCry à l’Agence coréenne d’internet et de sécurité (KISA), à Séoul, le 15 mai 2017. (Crédit : Yonhap/AFP)

Raiu a comparé les cyber-attaques intensifiées dans le monde à une « forêt obscure » à travers laquelle marcheraient les usagers d’internet sans avoir conscience de ce qu’ils vont y trouver quelques pas plus tard.

« Il peut y avoir des prédateurs », dit-il. « Des bêtes sauvages ».

Sa mission est de chercher dans le passé pour « tenter d’assembler les mystères non résolus. Il y a beaucoup de mystères non résolus là-dedans – et c’est ce qui nous permet de comprendre à quoi ressemble aujourd’hui cette forêt obscure ».

Une plus grande numérisation et inter-connexion mène à une prospérité plus importante – mais également à un niveau de menace plus élevé. Le Parlement du Royaume-Uni a fermé samedi les accès extérieurs aux comptes courriel suite à une cyber-attaque. Un logiciel malveillant nommé Crash Override ou Industroyer aurait été responsable d’une panne d’électricité en Ukraine en 2016 tandis qu’au mois de mai, une attaque mondiale à l’aide d’un logiciel de rançon, WannaCry, a créé la panique au sein de 10 000 organisations et dans 200 000 ordinateurs de plus de 150 pays, venant encore souligner la vulnérabilité des entreprises et des nations face aux cyber-menaces croissantes dans le monde entier.

Le marché de la cyber-sécurité devrait connaître une croissance nette, passant de 112 milliards de dollars en 2016 à 202 milliards de dollars en 2021, selon MarketsandMarkets, une entreprise de données.

Eugene Kaspersky, au centre, et d'autres responsables lors de l'inauguration du bureau de Jérusalem et du centre de Recherche & Développement (Crédit : Shoshanna Solomon/Times of Israel)
Eugene Kaspersky, au centre, et d’autres responsables lors de l’inauguration du bureau de Jérusalem et du centre de Recherche & Développement (Crédit : Shoshanna Solomon/Times of Israël)

Kaspersky Lab, une entreprise mondiale de cyber-sécurité créée en 1997, compte plus de 400 millions d’utilisateurs, sur lesquels 270 000 sont des entreprises qui utilisent ses services et ses technologies pour protéger leurs commerces et leurs infrastructures.

Raiu – qui avoue avoir un faible pour les échecs, l’arithmétique de haute précision, la cryptographie et la chimie lors de ses moments de loisirs – travaille chez Kaspersky depuis l’an 2000 et se trouve à la tête de son équipe d’analyse – ou de ce qu’on appelle le GREAT.

« Nous plaisantons beaucoup à ce sujet : GREAT, c’est great (grandeur, formidable) et rendons sa Grandeur à GREAT », s’exclame-t-il en s’exprimant dans un anglais empreint d’un lourd accent russe.

Lui et son équipe ont enquêté sur les rouages internes de certains virus et attaques les plus intrigants. Parmi lesquelles Flame, Gauss, Mask et Stuxnet, ce dernier aurait fait des ravages dans l’usine nucléaire iranienne de Natanz et qui a été très largement attribué à une initiative conjointement menée par les Etats-Unis et Israël.

« Personne n’a vu Stuxnet depuis 2010 » ou le groupe qui l’avait créé, a indiqué Raiu. « Il fonctionnait depuis 2007 – et depuis 2010, plus personne ne l’a vu. Certains groupes apparaîtront et on ne les reverra jamais. Ces gens (qui formaient le groupe de Stuxnet) n’ont eu qu’une seule cible et dorénavant, tout le monde sait que cette cible était les usines d’enrichissement en uranium de l’Iran ».

Image capture of a Fars news agency report on the end of the Stuxnet virus.
Capture d’écran d’une image de l’agence de presse Fars lors d’un article sur la fin du virus Stuxnet.

Kaspersky Lab traque cent groupes représentant des menaces dans le monde entier en permanence et chaque groupe porte la responsabilité d’une forme de cyber-attaque. De nouveaux groupes sont créés jour après jour mais leur identité est compliquée à déterminer.

« Dans la majorité des cas, nous ne savons pas qui ils sont », a expliqué Raiu. « Et pour être honnête, ce n’est pas quelque chose que nous suivons très profondément parce que ce n »est pas notre travail – c’est la mission des forces de l’ordre de découvrir leurs identités. Notre mission à nous, c’est de protéger nos utilisateurs ».

Pourtant, ce travail de détective assumé par l’équipe permet de découvrir des indices uniques.

« Chaque groupe est unique – c’est pratiquement la même chose si vous regardez le monde. Chaque pays a des habitudes alimentaires uniques, sa langue, ses coutumes propres », a-t-il constaté. De la même façon, « chaque attaque reflète assez bien la mentalité d’où sont originaires les attaquants ».

Le fuseau horaire sur lequel le groupe travaille est un indice important, a-t-il ajouté. S’il s’agit d’un groupe basé en Chine, ses membres ne seront pas actifs lors du Nouvel an chinois, par exemple. Ou si le groupe est israélien, alors – très typiquement – il ne travaillera pas le samedi pour observer le Shabbat. La langue est un autre indicateur. Il n’a jamais encore vu de groupes fonctionnant en hébreu, a-t-il affirmé. Mais on trouve parfois, dans les groupes, un anglais peu assuré.

« Nous avons vu beaucoup de groupes qui semblent avoir comme langue maternelle l’arabe, le coréen ou le russe », a-t-il poursuivi. « Mais bien sûr, on parle le russe dans plusieurs pays – et le coréen est également parlé dans deux différentes nations ». Un chinois simplifié est également utilisé ainsi que – bien sûr – l’anglais.

Black Energy, Lazarus, Shamoon et StoneDrill

Les groupes portent également des noms. L’attaque de Crash Override, qui aurait visé le réseau énergétique de l’Ukraine, a été probablement lancée par un groupe appelé Black Energy, « un groupe de menaces intéressant qui traîne sur internet depuis pas mal de temps », a-t-il dit. Le groupe aurait acquis un logiciel malveillant à des fins de cybercriminalité développé par un hacker russe qui l’avait vendu au marché noir, sur des forums cyber-criminels, pour environ 1 000 dollars, puis l’aurait réorienté pour l’utiliser lors d’attaques contre des systèmes industriels de contrôle.

Un autre groupe, dénommé Lazarus, a endossé la responsabilité du plus grand braquage de banque de l’histoire – celui de la banque du Bangladesh, lors duquel des cyber-voleurs ont dérobé 81 millions de dollars à la banque centrale de ce pays. « Nous avons la certitude que le groupe Lazarus parle le coréen – parce que nous avons trouvé des objets de langage en coréen dans le logiciel malveillant », a confié Raiu. Le groupe a également opéré à partir d’une adresse IP coréenne, fonctionnant au fuseau GMT +8,5 heures, a-t-il dit.

« C’est ce groupe également qui était responsable de WannaCry« , a-t-il expliqué. « Il y a de nouveaux groupes qui se montrent tout le temps, et je m’inquiète de Lazarus parce que j’ai constaté une augmentation de leurs opérations au cours des dernières années et que ces gens sont plus dynamiques, plus agressifs aujourd’hui et totalement dénués de scrupules ».

A LIRE : Après WannaCry, il est temps de se concentrer sur les services de prévention et de sauvegarde

Un autre groupe, Shamoon, a pris pour cible l’Arabie saoudite et un autre encore, appelé StoneDrill, vise Israël depuis un certain temps, a-t-il poursuivi.

En Israël, « la population comprend l’importance de la cyber-sécurité plus que n’importe quel autre pays au monde », a-t-il constaté. « Les gens savent très bien comment créer des technologies qui permettent de protéger – et comment gérer les menaces ».

Kaspersky Lab effectue souvent des recherches conjointes avec des entreprises de cyber-sécurité privées israéliennes. Lorsque ces firmes reçoivent des plaintes de la part de leurs clients concernant des attaques, elles se rapprochent de Kaspersky Lab pour déterminer si d’autres entreprises dans le monde ont été également ciblées, a indiqué Raiu. Ou elles consultent pour savoir si ces attaques ont été d’origine criminelle ou parrainées par l’état.

« Nous avons un point de vue global », a expliqué Raiu. « Nous avons des clients dans pratiquement tous les pays du monde – plus de 300 millions d’installations – et nous pouvons comprendre très facilement si cette menace est spécifique. D’habitude, nous pouvions enrichir les conclusions de ces entreprises israéliennes en apportant plus de données. Pourquoi donnons-nous un coup de main ? Parce que nous nourrissons tous le même le désir d’améliorer le monde ».

Cette photo prise le 20 mars 2017 montre le directeur du FBI d'alors, James Comey, durant une audience de la Commission permanente de la Chambre des représentants consacrée aux renseignements, s'expliquant sur les actions des russes au cours de la campagne électorale de 2016 au Capitole, à Washington, DC. (Crédit : Nicholas Kamm/AFP Photo)
Cette photo prise le 20 mars 2017 montre le directeur du FBI d’alors, James Comey, durant une audience de la Commission permanente de la Chambre des représentants consacrée aux renseignements, s’expliquant sur les actions des russes au cours de la campagne électorale de 2016 au Capitole, à Washington, DC. (Crédit : Nicholas Kamm/AFP Photo)

Kaspersky travaille également avec les équipes de réponse d’urgence informatique placées sous l’égide des gouvernements dans le monde entier (CERTS), et auprès d’agences chargées de l’application de la loi intergouvernementales et européennes (Europol et Interpol).

Le travail mené par Kaspersky Lab est actuellement examiné avec minutie par les régulateurs des Etats-Unis en raison des craintes que des hackers puissent utiliser les logiciels Kaspersky dans des desseins d’espionnage ou de sabotage, après que la Russie a été blâmée pour être intervenue lors du scrutin présidentiel américain par le biais de cyberattaques commises dans le système électoral.

« Nous n’avons pas été directement impliqués dans l’enquête parce qu’on ne nous a pas demandé de le faire », a indiqué Raiu en évoquant l’investigation lancée aux Etats-Unis concernant les soupçons de piratages russes.

Eugene Kaspersky, fondateur de Kaspersky Lab, a expliqué dans un entretien au début du mois que les soupçons nourris par les Etats-Unis sur les activités de son entreprise « ne sont fondés sur aucun fait, tout simplement. Cela fait vingt ans que cette entreprise existe et nous avons toujours été un acteur qui a pris ses responsabilités. Nous sommes prêts à offrir notre code-source pour examen aux Etats-Unis. C’est quelque chose que nous avons déjà fait avec d’importants contrats gouvernementaux dans d’autres parties du monde et ce n’est pas un problème pour nous ».

En savoir plus sur :
C’est vous qui le dites...