Samu Konttinen, PDG du groupe finlandais de cybersécurité F-Secure, s’inquiète des conséquences de l’affrontement des Etats dans le cyberespace, les logiciels malveillants qu’ils concoctent pouvant tomber aux mains de criminels.

Contrairement à la plupart de ses concurrents, il ne cite pas spontanément la Russie comme auteur de l’attaque du malware NotPetya, un logiciel malicieux qui a frappé l’Ukraine en juin et a fait des milliards de dégâts dans des entreprises touchées. En revanche, il estime que la Corée du Nord a lancé Wannacry, l’attaque mondiale qui a semé la panique en mai.

M. Konttinen a rencontré l’AFP aux Assises de la sécurité et des systèmes d’informations, le salon de la cybersécurité de Monaco.

Q. Quel bilan faites-vous après les attaques de Wannacry et NotPetya?

“Ce qui est peut-être le plus alarmant, c’est que la vulnérabilité +zero day+ (vulnérabilité informatique qui n’a pas encore été rendue publique, et n’a pas de correctif, NDLR) que Wannacry a utilisée a été développée par la NSA (l’agence américaine de renseignement). Cet outil a fuité et s’est retrouvé dans les mains de quelqu’un d’autre. C’est un phénomène très inquiétant qui, je pense, va s’aggraver à l’avenir.

Cela signifie que des Etats-nations ont des budgets monstres, des capacités monstres, beaucoup de ressources, et ils développent les outils dont ils ont besoin pour leur propre veille (par exemple). Mais ces outils ne restent pas entre leurs mains. Ils fuitent, ils tombent entre les mains de criminels, et c’est très mauvais. Terrible. Je pense que nous verrons beaucoup plus de ces cas, malheureusement.”

Q. La Russie, le grand voisin de votre pays la Finlande, est souvent montrée du doigt…

R. “Le grand voisin? Il ne s’agit pas seulement de la Russie. Il est très clair que les superpuissances dans le cyberespace, ce n’est pas seulement la Russie, c’est aussi la Chine, c’est évidemment les Etats-Unis, le Royaume-Uni est très actif, Israël est très actif… Ces entités utilisent de plus en plus le cyber comme un outil au service de leurs intérêts nationaux. Au bon vieux temps, vous auriez envoyé James Bond, et maintenant c’est numérique!

Les choses sont très compliquées, elles ne sont pas toujours ce que vous pourriez croire en surface. Wannacry est un bon exemple. Typiquement, vous pensez que Wannacry a été créé par un cybercriminel, pas par un État-nation, mais par quelqu’un qui veut de l’argent (car il se présentait comme un ransomware, un malware cryptant les données et réclamant une rançon pour les décrypter, NDLR). Mais très probablement, c’est la Corée du Nord qui était à l’origine de Wannacry. Ce n’est pas un criminel, c’est un pays! Ils voulaient de l’argent ou ils voulaient que Wannacry cache quelque chose d’autre.

Petya (malware le plus souvent appelé NotPetya, NDLR) utilisait la même vulnérabilité, mais a été créé par quelqu’un de très différent.

C’est très compliqué. Quand vous essayez d’enquêter sur ce qui s’est passé, très souvent vous dites d’abord +Oh, c’est évident, ça a été fait par ce groupe-ci à cause de ça+, et puis vous poursuivez votre enquête et vous dites +ce n’était pas ça, c’était quelque chose de différent+. Il y a certaines choses que nous ne connaîtrons jamais! C’est l’un des défis du cyberespace: souvent, vous ne trouverez pas ce qui, dans le monde physique, ressemblerait à un pistolet encore fumant…”

Q. Les moyens d’attaquer ont-ils changé?

R. “Le monde devient de plus en plus numérique, et les vecteurs d’attaque possibles ne font que croître de façon exponentielle. On ne se contente plus de pirater un ordinateur, il y maintenant de très nombreuses entrées possibles sur certains réseaux!

Si vous avez une machine à café connectée dans votre bureau et que le dispositif de sécurité de la machine à café n’est pas bien conçu, l’attaquant peut utiliser cette vulnérabilité dans la machine à café pour pénétrer le réseau de votre entreprise, et vous vous retrouvez avec un intrus au milieu du réseau. Ce n’est pas que votre infrastructure est mal faite, mais vous avez juste acheté une machine à café connectée et vous n’avez pas pensé que vous avez créé ainsi une porte dérobée” (une brèche d’où l’on peut pénétrer dans le système, NDLR).