Il a consacré toute sa vie à protéger la vie privée des personnes en ligne et dans la société F-Secure, il poursuit ce travail. « On peut dire de plusieurs manières… que nous avons perdu la bataille pour la vie privée. Beaucoup de gens ne se souviennent pas à quoi ressemblait le monde avant Internet. Pour beaucoup de gens, Google ou Wikipédia ont toujours été là. Et il est naturel pour eux d'utiliser une multitude de services sur Internet, introduisant toutes sortes de données et de contenus. C'est vraiment ainsi que vous payez sur Internet. Faire une vidéo coûte de l'argent mais nous la payons avec nos données et notre vie privée », n'explique pas l'expert F-Secure, Miko Hypponen, à RootedCON 2017.
« Nous avons peut-être perdu une guerre contre la vie privée. Nous sommes cette génération de personnes dont la vie peut être retracée du début à la fin. Nous portons tous des dispositifs de suivi. Il est très facile de surveiller où nous sommes, avec qui nous communiquons. Il est facile de savoir quel genre de personnes nous sommes. Ce qui nous intéresse. Et toutes les données sont collectées. Les données sont le nouveau pétrole. Il en est ainsi et c'est pourquoi nous parlons d'agences de renseignement, mais aussi d'entreprises qui collectent des données auprès de nous. Google en a fait 80 000 millions en 2016… en proposant des services gratuits ».
Guerre asymétrique contre la cybercriminalité
« Nous avons perdu la bataille de la confidentialité et la bataille de la sécurité. Cependant, je refuse d'admettre que nous avons perdu ce dernier. Tout ce que j'ai fait depuis que j'ai commencé à étudier les logiciels malveillants et la rétro-ingénierie était dans ce but : combattre les méchants. Contre ceux qui envoient des malwares, attaques par déni de service. Mais nous sommes ceux avec le chapeau blanc par rapport à ceux avec le chapeau noir. Je ne nie pas que notre travail soit compliqué, car les attaquants ont accès à nos défenses.
« La première chose qu'ils apprennent est le type de sécurité qu'ils doivent briser. C'est le point de départ d'un attaquant. Et une fois qu'ils le savent, ils décident comment entrer. Ils ont beaucoup de temps pour se préparer… et nous peu pour répondre. Nous entendons toujours de mauvaises nouvelles sur la sécurité informatique, sur des attaques, des fuites ou sur des utilisateurs faisant des choses stupides, utilisant le même mot de passe pour tout, ouvrant des liens malveillants. Mais où en étions-nous il y a 10 ans ? Il y a eu de grands progrès en matière de sécurité. Il y a dix ans, de nombreux utilisateurs utilisaient Windows XP qui, par défaut, n'avait même pas de pare-feu.
« En termes de sécurité, nous avons parcouru un long chemin. Nous avançons à grands pas mais, malheureusement, l'ennemi évolue aussi avec son temps. Le moment est peut-être venu de rencontrer l'ennemi, comprenez-le. Mais, comme c'est souvent le cas, c'est plus facile à dire qu'à faire. L'utilisateur final n'a aucune idée de qui est derrière les attaques. Il y a des hacktivistes, des criminels, des casquettes blanches, des gouvernements, des extrémistes… il y a toutes sortes de hackers. Nous avons des gens comme Charlie Miller et Chris Vallasek. Ils piratent parce qu'ils veulent améliorer la sécurité. Anonymus a une raison de protester politiquement. Les criminels veulent gagner de l'argent en écrivant des virus. Et les gouvernements s'y intéressent également parce que les cyberattaques s'y ajoutent. Ils sont efficaces, ils ne sont pas chers et ils sont indéniables. C'est un match parfait quand vous pensez d'un point de vue militaire. Lorsque vous avez une arme peu coûteuse, efficace et indéniable, vous avez le mélange parfait. C'est pourquoi le moment du changement commence maintenant ».
Une nouvelle course aux cyber-armements démarre
Nous sommes au début de la prochaine bataille armée. Nous avons vu la course aux armements nucléaires. Nous sommes maintenant dans celui des cyber-armes. Il a commencé et y restera pendant des années. Il faudra des décennies pour parler de cyberdésarmement. Et du point de vue des gouvernements, il n'y a pas que les militaires mais aussi les forces de sécurité. Si quelqu'un m'avait dit que la police aurait des virus pour infecter les citoyens, je ne l'aurais pas cru, mais c'est ainsi. Je n'ai aucun problème avec les gouvernements qui utilisent des technologies offensives pour enquêter sur les crimes et traquer les terroristes. Vous devez aller pour eux dans le monde physique et dans le monde en ligne. Mais si en tant que citoyens nous donnons ce droit aux forces de sécurité, nous devons demander la transparence. Ce cyber-pouvoir offensif doit amener les forces de sécurité à publier des statistiques. Nous avons infecté 200 ordinateurs avec des logiciels malveillants et 150 provenaient de personnes qui étaient mauvaises et qui ont été condamnées. Mais cela peut aussi être le contraire. Il n'y a pas de transparence et nous ne pouvons donc pas prendre de décisions à ce sujet. Mais le plus grand groupe qui gagne de l'argent grâce aux attaques sont les criminels. Ce sont des gens qui gagnent beaucoup et qui sont persécutés.
Les dernières tendances de la cybercriminalité pour gagner de l'argent à vos dépens
« L'une des dernières tendances en matière de cybercriminalité a été les chevaux de Troie pour voler des bitcoins et des devises numériques. Nous savons que les inventions sont évidentes… quand elles sont inventées. Ce sont les meilleurs. Grâce à la technologie blockchain, les transactions peuvent être effectuées automatiquement sans l'intervention de qui que ce soit. Bitcoin et la blockchain ne sont pas mauvais. Ils sont bons comme argent. Le problème est que les criminels veulent aussi de l'argent, qu'il soit physique ou virtuel. Il est difficile d'acheter de la cocaïne avec une carte de crédit. Mais avec Bitcoin, c'est plus facile. Pour les criminels, le bitcoin est comme un cadeau du ciel. C'est pourquoi il y a tant de boom des chevaux de Troie. Nous suivons actuellement 110 groupes différents en compétition pour les mêmes victimes. Et tous les groupes ne viennent pas de Russie, il y en a aussi d'Ukraine.
Comment recherchent-ils leurs victimes ? D'abord par des exploits qui ont infecté un ordinateur en ouvrant un lien. Aujourd'hui, le moyen le plus courant consiste à utiliser un document Word et une pièce jointe à un e-mail. Cela a commencé à être fait en 2008 à travers la macro. Et maintenant c'est de retour. Ainsi, ceux qui peuvent recevoir plus d'attaques sont les services des ressources humaines qui reçoivent des CV infectés qui ont des liens pour étendre leurs informations. Microsoft doit changer le nom du bouton au lieu d'activer le contenu qu'il devrait dire « infecter mon système » » -rire du public-.
Le virus informatique qui "pardonne" s'il infecte deux amis
« Il y a même eu un ransomware - le logiciel qui détourne un ordinateur en cryptant ses informations - qui demande 1 300 $ mais vous pouvez vous épargner en infectant deux autres machines. Vous devez infecter deux personnes qui finissent par payer la prime du ransomware. C'est le pop-corn. Chaque victime a une URL unique, donc si vous l'envoyez sur Facebook, de nombreuses personnes sont infectées. Il est très créatif et mon intelligent. Revenons à ces gars-là après le ransomware. "
La cyberattaque contre LinkedIN a fait du cybercriminel qui l'a fait un millionnaire
«Il y a eu un hack LinkedIN en 2012 et si vous y étiez…. ils ont volé vos clés. Donc, si vous aviez un compte sur ce réseau social, il a été volé par un cybercriminel que tout le monde connaît désormais - il a montré sa photo. J'étais l'une de ses victimes. Il n'a pas encore reçu de condamnation, bien qu'il soit détenu alors qu'il est en vacances à Prague avec sa petite amie et espère qu'il sera extradé vers les États-Unis. Qu'est-ce que cela a à voir avec le vol de 130 millions de mots de passe ? Eh bien, d'autres cybercriminels viendraient à eux. Combien pouvez-vous gagner en vendant des mots de passe ? Je ne sais pas. Mais en regardant une vidéo sur YouTube, nous pouvons nous faire une idée. Parlez de vos vacances avec des super voitures de sport comme l'Audi R8 et la Lamborghini Hurracane. De plus, on voit qu'il a une Mercedes, une Aston Martin, une Porsche, une Rolex et une Rolls Royce. Alors combien a-t-il gagné ? Bon, je ne sais pas, mais ça suffit ».
«Si vous obtenez ces clés, vous pouvez accéder à 1,3 million de comptes Gmail. Parce qu'ils ont tous le même mot de passe que dans linkedIN. Nous avons demandé et 50% des utilisateurs utilisent le même mot de passe sur tous les sites. C'est assez stupide. Ainsi, une fois qu'ils entrent dans Gmail, ils recherchent les anciens e-mails. Gmail ne les supprime jamais et recherche un type spécifique. Ceux que vous recevez lorsque vous vous inscrivez dans une boutique Internet, comme Amazon. Ainsi, ils savent que vous avez un compte avec cette adresse e-mail, par exemple Amazon. Et si votre mot de passe ne fonctionne pas, ce n'est pas grave. Parce que toutes les pages de connexion ont un bouton magique "J'ai oublié mon mot de passe" et comment ils ont accès à Gmail … eh bien, ils y accèdent. Une fois qu'ils accèdent à Gmail, ils ont accès à tout. Ils peuvent acheter Xbox, Palystation et vous allez payer ».
Le redoutable Internet des objets
«Un autre grand défi entre nos mains est l'avenir brillant de l'Internet des objets et des SCI, le système de contrôle industriel. Il a ainsi montré une réaction nucléaire se déroulant dans une piscine. Pourquoi je montre cette vidéo ? Eh bien, parce que c'est un exemple de contrôle industriel. Ce réacteur est contrôlé par un automate programmable, un robot programmable. Toutes les infrastructures sont gérées par des ordinateurs et des logiciels. Il faut être clair là-dessus. Nous sommes issus de la sécurité informatique et pendant des années j'ai cru devoir sécuriser les ordinateurs. Mais maintenant je ne sais pas. Notre travail n'est pas de sécuriser les ordinateurs…. Elle consiste à donner la sécurité à toute la société. Il est temps de changer votre façon de voir le monde. Et il y a tellement de choses et on parle de tellement de choses sur les risques IOT et ICS et la première est que ces choses se connectent à Internet même si elles n'ont pas à se connecter. Ces choses permettent d'accéder à ce qui est derrière. Il existe de nombreux systèmes d'usine qui se connectent à Internet par erreur.
C'est ainsi qu'il a montré un crématorium en ligne, des chambres vues à travers des caméras de sécurité… « Un de mes amis trouve des choses comme un bateau connecté sans mot de passe. Aussi rideaux et stores. Et mon ami dit que lorsque l'on peut ouvrir et fermer des rideaux sur Internet, cela signifie que l'Internet des objets n'est pas dans le futur. Il est ici. Et ce sont des vecteurs. Vous pouvez accéder à une ampoule qui vous permet d'atteindre d'autres systèmes. Vous mettez une cafetière avec Wi-Fi et cela devient le maillon faible de la chaîne et un jour vous vous réveillez et vous avez tous vos ordinateurs cryptés. Que faire? "N'utilisez jamais un appareil sans mettre des mots de passe forts."
« Le malware Mirai a infecté 120 millions d'appareils IOT, mais leurs propriétaires s'en fichaient. Nous leur parlons. Votre caméra de sécurité a été piratée… et ils ont répondu oui, quoi de cool ? Mais ça marche bien. Si ça marche, les gens s'en fichent si c'est utilisé pour une attaque. Et le plus triste, c'est qu'il utilisait peu de mots de passe que tous les appareils utilisaient. Et ils ont aussi utilisé Telnet - un système des années 80 - car il n'était pas crypté ».
Les appareils électroniques doivent être réglementés : s'ils ne sont pas sûrs, vous devez pouvoir réclamer
« Il faut investir dans la sécurité. Nous réglementons la sécurité physique et la sécurité en ligne doit être réglementée. Je ne parle pas d'un organisme qui établit des règlements sur les appareils électroménagers. Mais il faut réglementer que le fabricant soit poursuivi pour les problèmes qu'il crée. Si vous avez une machine à laver avec un court-circuit, vous devez la réparer. Et si vous ne pouvez pas la poursuivre et cela doit être réalisé dans le cyber-monde. Que vous pouvez poursuivre pour une violation de la sécurité.
L'heure est aux cyberarmes et au cyberdésarmement
«J'ai parlé des gouvernements et de leur piratage. Nous sommes aux premières loges dans le déploiement d'attaques contre les États-Unis lors des élections présidentielles. La Russie a essayé d'influencer le résultat des élections de la plus grande puissance du monde. Il y a une interview dans Bloomber avec Poutine plusieurs mois auparavant mais elle était déjà connue. Alors ils lui ont demandé, qui a piraté les démocrates ? Est-ce que c'est vraiment important? L'important est le contenu des e-mails. Ne pas distraire le public sur qui l'a fait. S'agit-il d'une cyber-guerre ? Pas".
Des soldats ukrainiens tués après que leur mobile a été infecté… et en cours de géopositionnement
Mais il y a deux mois, des soldats ukrainiens ont vu leur téléphone infecté par des logiciels malveillants, ils se sont positionnés et l'artillerie les a écrasés. Je parle du brouillard de la cyberguerre. Cette course aux armements dans un pays précis, vous pouvez savoir combien de chars un pays a…. Mais dans les cybercapacides aucune idée. Nous savons que les États-Unis sont bons, que plus d'argent a été investi depuis plus longtemps pour monter des capacités de cyberdéfense, qu'Israël, la Russie, la Chine sont très bons. Mais alors tout est très nébuleux, quelle est la capacité cyber-offensive de la Suède ? Espagne? Viêt Nam ? Aucune idée. C'est la nébuleuse de la cyberguerre. C'est pourquoi elle est très différente de la course aux armes nucléaires. Son pouvoir n'était pas dans son utilisation mais dans sa capacité à créer la peur. Hiroshima et Nagasaki en étaient des exemples clairs. Il ne s'agit pas de l'utiliser mais de montrer que vous les avez. Tout le monde sait que lorsqu'un pays possède cette arme, personne ne la touche.
Avec la nébuleuse de la cyberguerre, personne ne sait rien. Le pouvoir des cyber-armes n'est pas en désaccord. C'est pourquoi nous les voyons. Le stuxnet et le piratage du réseau électrique en Ukraine en 2015 ou les soldats ukrainiens morts sur le champ de bataille en 2016.
La puissance des cyber-armes réside dans leur utilisation. Les cyber-armes sont facilement disponibles et ont beaucoup de puissance. Stuxnet n'a pas pu être réalisé avec une capacité purement militaire. S'il s'agissait de retarder le programme nucléaire iranien, le pays pourrait être envahi à un coût élevé, également en vies humaines, ou la centrale pourrait être bombardée. Ou vous pouvez écrire stuxnet qui coûte un million. Et cela coûte le même prix qu'une sortie B52. Mais contrairement à celui-ci, il n'est pas visible.
Les pirates ne défendent plus les ordinateurs… maintenant ils défendent le monde
« C'est le monde dans lequel nous vivons aujourd'hui. Nous sommes tous des gens de la sécurité. Nous pensions que notre travail était de sécuriser les ordinateurs. Mais plus maintenant. Or ce travail est désormais de donner de la sécurité à la société et nous devons le prendre très au sérieux car nous avons une grande responsabilité, plus qu'on ne le pense beaucoup car c'est nous qui défendons notre société ».
Vous pouvez voir plus d'articles comme celui-ci dans OneMagazine.
