Actualité web & High tech sur Usine Digitale

"Pour le moment, le machine learning n’est utilisé que par les gentils, mais il y a un vrai risque", Mikko Hypponen, F-Secure

Twitter Facebook Linkedin Google + Email
×

Entretien L'industrie de la sécurité informatique a beaucoup évolué au fil des ans, à mesure que la connectivité grandissante des équipements à fait évoluer les menaces, les capacités des criminels et même leurs "business models". L'Usine Digitale a fait le point sur l'état actuel du secteur avec Mikko Hypponen, le Chief Research Officer de F-Secure, lors d'une visite du siège de l'entreprise à Helsinki. La monétisation du crime par les cryptomonnaies, le piratage de voitures autonomes, la vulnérabilité des infrastructures critiques ou les fantasmes entourant la NSA font partie des sujets que nous avons abordés avec lui.

Pour le moment, le machine learning n’est utilisé que par les gentils, mais il y a un vrai risque, Mikko Hypponen, F-Secure
"Pour le moment, le machine learning n’est utilisé que par les gentils, mais il y a un vrai risque", Mikko Hypponen, F-Secure © F-Secure

L'Usine Digitale - Avec la démocratisation du machine learning, va-t-on voir émerger de nouvelles formes d'attaques ?

Mikko Hypponen - La bonne nouvelle, c’est que pour le moment, le machine learning n’est utilisé que par les gentils, pas par les méchants. Il y a un vrai risque, mais pour le moment il ne s’est rien produit. Il faut dire que l’intelligence artificielle est un domaine difficile et dans lequel il y a une vraie pénurie d’experts, donc les gens qualifiés n’ont pas à se tourner vers le crime. La demande en data scientists est très élevée pour les business légitimes.

 

Tout cela pourrait changer à long terme lorsque nous aurons des programmes qui se reprogramment eux-mêmes. Lorsque cela se produira – et je suis persuadé que ce sera le cas – ces programmes pourront être utilisés à des fins malveillantes. D’un côté, ce sera la fin des bugs et des vulnérabilités car les programmes seront écrits par d’autres programmes, des "super développeurs" qui ne commettront pas d’erreurs. Mais de l’autre côté, si ces mêmes programmes sont utilisés pour concevoir du code malveillant, on aura beaucoup de mal à lutter contre. Mais cela ne m‘inquiète pour le moment.

 

Et concernant la prise de contrôle ou le sabotage de systèmes automatisés à grande échelle ? Il y a beaucoup d’intérêt autour du véhicule autonome notamment…   

M. H. : Beaucoup de choses peuvent être faites en théorie, mais le seront-elles ? Il y a certaines menaces que l’on qualifie de "menaces de scénario de film". On les appelle comme ça car elles sont impressionnantes sur le papier, mais il n’y a pas vraiment de raison de les mettre en œuvre dans le monde réel. Un crime requiert un motif. Par exemple, concernant l’automobile, ce que nous observons déjà, ce sont des gangs qui piratent les voitures pour les voler plus facilement. Et quand les voitures autonomes seront devenues la norme, ces mêmes criminels en feront des voitures qui se volent toutes seules. Votre voiture s’en ira toute seule au milieu de la nuit.

Quand les voitures autonomes seront devenues la norme, les criminels en feront des voitures qui se volent toutes seules. Votre voiture s’en ira toute seule au milieu de la nuit.

Observe-t-on un changement du côté des ransomwares depuis les incidents WannaCry et NotPetya ? L’impossibilité pour les victimes de récupérer leurs fichiers n'a pas cassé le "business model" ? Les futures victimes vont réfléchir à deux fois avant de payer les rançons…

M. H. : Oui, WannaCry et Petya ont courroucé les gangs adeptes du ransomware qui avaient jusque-là cultivé une image de criminels "honnêtes". Cependant ils continuent leurs activités, on voit encore de nouveaux ransomwares émerger. Il y a également une nouvelle mode autour du bitcoin qu’on appelle le "crypto-jacking". Les criminels s’appuient sur l’idée du minage de bitcoin via navigateur web (un code javascript s’exécute et met à profit les ressources de l’ordinateur), un concept développé à la base par coinhive comme une forme de monétisation alternative à la publicité. Mais à la différence de coinhive, le minage se fait à l’insu de l’utilisateur. The Pirate Bay a récemment été pointé du doigt pour cette pratique.

 

Et bien sûr, avec le boom des cryptomonnaies et l’explosion de la valeur du bitcoin, on voit une recrudescence d’attaques cherchant à directement les voler, notamment par spear-phishing dirigé contre les places de marché. Nous travaillons beaucoup sur la fraude dans ce domaine.

 

Les infrastructures critiques ont-elles enfin pris conscience de l’importance de la cybersécurité ?

M. H. : La première sonnette d’alarme a retenti en 2010 avec Stuxnet. Cela a vraiment transformé le secteur. Beaucoup de fabricants se sont mis à réfléchir à la sécurité. Mais les systèmes de contrôle industriel (ICS) ont une durée de vie qui peut aller jusqu’à 30 ans. Donc de très nombreux systèmes qui étaient en activité à l’époque le sont encore aujourd’hui. Si vous en achetez un nouveau, il sera sécurisé, mais le renouvèlement de l’existant va prendre beaucoup de temps. Une centrale nucléaire reste opérationnelle pendant 50 ans.

 

Ce dont les usines équipées de systèmes de contrôle industriel se rendent compte, c’est qu’il est difficile de les garder offline. Lorsque nous scannons l’Internet, nous trouvons tout le temps des usines ou des centrales exposées. Alors on les appelle et on leur dit. En général, elles ne veulent pas nous croire... jusqu’à ce qu’on leur prouve. Ce qui se passe, c’est que le système n’était pas connecté à Internet à l’origine, mais 5 ans plus tard quelqu’un a reconfiguré le réseau ou ajouté un routeur ou connecté deux réseaux ensemble ou ajouté une connexion à distance… et surprise : maintenant ce système critique est accessible en ligne. Le protocole TCP/IP a été conçu pour survivre à une frappe nucléaire. Il se reroute à l’infini : tant qu’il y a un chemin possible entre deux points, il le trouve, peu importe sa complexité. C’est pour ça qu’on se retrouve avec ce genre de situations.

Lorsque nous scannons l’Internet, nous trouvons tout le temps des usines ou des centrales exposées

Microsoft a réussi à atteindre un niveau de fiabilité impressionnant avec Windows Defender, vous n'avez pas peur que cela finisse par vous nuire ?

M. H. : Je me rappelle quand Microsoft a sorti MS DOS 6.2 en 1993. C'était le premier de leur système d'exploitation à intégrer un antivirus par défaut, et nous étions horrifiés. On était certains que notre industrie allait disparaître. Pourquoi les gens continueraient à acheter nos produits ? C'était il y a 25 ans. Depuis, cette industrie de la sécurité est devenue énorme, bien plus grande qu'elle ne l'était alors. Apple le fait aussi, ils ont un antivirus, mais ça n'est pas devenu un danger pour nous car nous allons plus loin, nous développons un ensemble de services de sécurité complet. Microsoft fait du très bon travail pour la sécurisation de leur OS. Windows XP était complètement merdique, et vous pouvez me citer texto ! Windows 10 est très bon en comparaison, donc il y a clairement une amélioration, mais je ne suis pas inquiet pour l'industrie de la sécurité.

 

Vous évoluez d'ailleurs depuis deux ans pour faire de la réponse aux incidents et de l'analyse forensique en plus de vos produits classiques...

M. H. : Oui, c'est pour ça que nous avons fait l'acquisition de nSense et d'Inverse Path, pour transitionner d'un pur développeur logiciel vers le conseil. Nous avons réalisé que pour créer de meilleurs produits, il faut avoir des gens sur le terrain qui analysent des cas concrets. Gérer ce type d'attaques très spécifiques n'a pas grand chose à voir avec la construction d'un système de sécurité général, fait pour convenir au plus grand nombre. Et en intégrant les retours de nos équipes terrain dans nos produits, cela nous permet de mieux protéger un grand nombre de clients

Nous avons fait l'acquisition de nSense et d'Inverse Path pour transitionner d'un pur développeur logiciel vers le conseil

Sur le sujet des attaques ciblées, est-ce que la sur-médiatisation d'attaques spectaculaires orchestrées par les Etats ne nuit pas à la compréhension du danger par les entreprises et utilisateurs lambda ?

M. H. : C'est vrai que la plupart des cas qui font les gros titres ne s'appliquent pas à toutes les entreprises. C'est la base du travail d'évaluation des menaces qu'on doit effectuer. Qui sommes-nous ? Quelle est notre activité ? Qui cela intéresse-t-il ? Qui sont nos ennemis ? Cela change radicalement d'une entreprise à l'autre. Il y a très peu de points communs entre un sous-traitant militaire, un restaurant ou une compagnie pétrolière. Les ressources ne sont pas infinies et c'est pour ça qu'il faut les allouer intelligemment, pour faire face aux bons types de dangers.

 

Et puis il faut dire que si on est visé par la NSA, il y a peu de chances de leur échapper. Ils n'avaient d'ailleurs pas fait grand cas des produits F-Secure...

M. H. : [Rires] C'est frustrant parce que dans l'un des documents qui a fuité, ils avaient l'air de nous détester, mais dans un autre ils disaient n'avoir aucun problème à passer au travers de nos défenses... Il faudrait qu'ils se décident ! Je sais que je suis personnellement sur leur liste de surveillance, et je l'accepte. Mais oui, en effet, si la NSA veut vous avoir, ils vous auront. Ils ont suffisamment de moyens pour le garantir. C'est un peu comme d'être visé par James Bond. Il finit toujours par avoir sa cible.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

2 commentaires

Mr Tillier

24/11/2017 08h55 - Mr Tillier

"machine learning" en francais: auto-instruction, ou bien instruction des automates.

Répondre au commentaire | Signaler un abus

Julien Bergounhoux

24/11/2017 13h39 - Julien Bergounhoux

Non, "machine learning" en français c'est "apprentissage automatique".

Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale