Les entreprises sont de plus en plus victimes d’attaques informatiques. Les actes de piratage informatique n’ont pas besoin d’être sophistiqués car l’utilisateur reste toujours le maillon faible. Et l’appât du gain est toujours la principale motivation des pirates. Explication avec Boris Sharov, PDG de l’éditeur de sécurité DrWeb, qui connait bien notamment le milieu des pirates russes.
Propos recueillis par Philippe Richard
Comment évolue la cybercriminalité ? Les méthodes d’attaques informatiques et les cibles ont-elles changé ?
L’évolution de la criminalité est toujours liée à plusieurs facteurs qui déterminent la nature même des crimes dans le cyberespace. C’est le changement de ces facteurs qui prédéfinit l’évolution des crimes et des criminels.
1. Modèles économiques avant tout – le crime peut être comparé au liquide – il coule là où il peut couler. Dès qu’une opportunité de dérober des biens apparaît, les criminels ne manquent pas de s’en emparer. L’abondance des logiciels de rançon qui font trembler aujourd’hui beaucoup d’états européens est expliquée par le fait que les mesures prises par la plupart des banques arrivent à contrer les attaques contre les comptes des clients rendant ce type de crime beaucoup moins rentable qu’avant alors que la négligence des utilisateurs reste au même niveau et les bitcoins présentent une excellente opportunité des se faire payer sans risque d’être arrêté par la police.
2. Niveau technologique – la règle générale dit : plus les technologies sophistiquées deviennent accessibles au grand public, plus ce public encourt le risque de devenir victime des malfaiteurs utilisant ces technologies. Les éditeurs et les producteurs ont beau multiplier leurs efforts pour rendre l’utilisation de nouveaux appareils et logiciels plus sécurisée, le maillon faible, qui est l’utilisateur même, reste toujours à la disposition des criminels.
3. « En ligne » partout – notre vie se déplace rapidement « en ligne » et on ne s’y oppose pas. On est agréablement chatouillé par ce phénomène, on en parle dans les présentations, on l’entend dans les discours des hommes d’État (qui, eux, ne se dépêchent pas de plonger « en ligne » pour des raisons de sécurité d’État). Pourtant, 90 % des utilisateurs des PC ne sauraient jamais expliquer ce qui se passe exactement quand ils cliquent sur tel ou tel lien ou quand ils disent « oui » a une question très urgente et innocente en apparence. Ainsi, le terrain sur lequel opèrent les cybercriminels devient de plus en plus étendu et en même temps les frontières entre les États n’existent pas pour eux.
4. La criminalité en générale s’intéresse de plus en plus aux crimes hi-tech – même argent, cent fois moins de risque de se faire arrêter. Cela s’accompagne d’une nouvelle tendance qui devient de plus en plus forte – le « Crime en tant que service » (crime as a service), à commencer par l’hébergement de serveurs criminels chez des hébergeurs « bulletproof » jusqu’aux attentats payés a distance par des bitcoins.
Pouvez-vous nous expliquer les principales techniques permettant aux pirates d’attaquer et d’escroquer des entreprises ou des salariés ?
Je ne dirais pas que les techniques changent beaucoup – et l’explication reste en surface. C’est toujours le maillon le plus faible qui assure la simplicité des attaques contre des PC aussi bien dans les entreprises que chez des particuliers. On parle de plus en plus d’attaques ciblées, qui ne peuvent pas être stoppées par des moyens de sécurité traditionnels, mais c’est plutôt expliqué par les besoins médiatiques que par l’Etat réel des choses.
99 % des attaques ne sont pas du tout ciblées – car cibler une attaque coûte cher aux criminels (c’est le temps et les moyens financiers qui sont en jeu). Attaquer à l’aveugle est beaucoup plus intéressant – il suffit d’assurer l’infection de plusieurs dizaines de milliers d’utilisateurs et le malfaiteur aura à sa disposition quelques centaines de comptes bancaires séduisants. Il ne faut pas oublier que l’enjeu est beaucoup plus compliqué – après avoir reçu l’accès à l’intimité bancaire de la victime, il faut ensuite retirer cet argent de son compte et le diriger vers les comptes des mules pour finalement entrer en possession de cet argent diminué d’au moins de 50 %.
Alors, comment procèdent-ils ? On peut faire une campagne de spam et envoyer quelques centaines de milliers de mails soit infectés, soit contenant un lien vers un fichier Trojan caché quelque part sur un serveur de web normal (pénétré par des malfaiteurs). On peut pirater un site très visité et y introduire un fichier malveillant qui sera ensuite téléchargé sur les ordinateurs de tous les visiteurs de ce site – de 15 à 25 % des utilisateurs ayant téléchargé ce fichier seront par la suite infectés. On peut suggérer un téléchargement d’un nouveau codec pour voir une vidéo sur sujet très discuté dans la société (les attaques terroristes sont, bien sûr, dans les premiers rangs des sujets de ce type).
On peut conseiller à l’utilisateur d’un PC de renforcer sa sécurité bancaire en installant un logiciel spécialisé de vérification des transactions bancaires sur son smartphone, permettant ainsi d’infecter le portable et de connaître les codes d’accès au compte bancaire.
Comment voyez-vous le marché français par rapport à d’autres pays européens ?
Le marché français reste un marché très concurrentiel, là où dans d’autres pays, comme la Pologne, par exemple, deux ou trois éditeurs couvrent le marché local. D’un autre côté, il n’y a pas d’antivirus national, en tous cas, il n’y avait pas jusqu’à maintenant, ce qui laisse des portes ouvertes dans le domaine public, dans les administrations qui ne se rangent pas derrière une règle « achetons français » en matière d’antivirus. Nous constatons sur le marché français que le phénomène des AV gratuits ne se limite plus uniquement au marché « Home-user », c’est-à-dire des particuliers, mais commence à pénétrer le monde des PME et même de certaines administrations comme les mairies, souvent dans ce cas pour des problèmes de budget notamment dans les petites villes.
Est-ce que le FSB et la police de Moscou sont toujours vos clients ? Si oui, pourquoi acceptez-vous leurs exigences (accès au code source, recompilation devant leurs yeux…) ?
Mais où est le problème ? Si je veux fournir mes produits de sécurité dans le secteur où les secrets d’État sont traités sur des ordinateurs, je suis obligé de suivre les règles imposées par l’État. Les exigences sont très logiques – compiler devant les yeux du représentant de l’État le produit qui ensuite sera fourni à cet État. L’important c’est qu’on ne répond jamais aux exigences de changer notre code afin de servir les besoins des services.
Comment voyez-vous l’arrivée des malwares d’État et quelle est la position de DrWeb ?
On ne fait jamais de différence. Un malware pour nous est simplement un malware – on ne s’intéresse pas à son origine en le détectant et en le neutralisant.
La détection virale des antivirus est dépassée aujourd’hui ; elle n’est plus suffisante. Quelles sont les autres méthodes que vous déployez ?
Regardez notre nouveau produit, Dr.Web KATANA. C’est le produit qui opère sans bases de signatures, il est censé bloquer le code malveillant en début d’exécution.
L’arrivée de Windows 10 a-t-elle compliqué votre travail d’éditeur ?
Pas plus que l’arrivée de toute autre version de Windows.
Le projet OPenDavfi va publier bientôt ses modules de détection qui affichent d’excellents résultats de détection proactive ? Seriez-vous intéressé par les incorporer (ils sont libres et gratuits) dans DrWeb ?
Je ne saurais pas vous répondre avant que nos ingénieurs prennent connaissance de ses modules. Les technologies implémentées dans Dr.Web KATANA et dans nos produits traditionnels assurent un niveau élevé de sécurité pour un poste de travail informatisé. J’espère que beaucoup de produits AV seront intéressés par le fait d’apporter plus de sécurité à leurs clients – chacun à sa manière.