Boris Sharov, Doctor Web : « l’attribution est devenue une arme politique »

Rencontré à l’occasion du Forum International de la Cybersécurité (FIC), fin janvier dernier, à Lille, Boris Sharov, Pdg de Dr. Web s’est ouvert à la rédaction sur la façon dont son conduites les enquêtes sur les logiciels malveillants, leurs auteurs, et les groupes qui les exploitent. Au passage, il a livré son analyse sur la manière dont l’attribution a glissé largement dans le domaine politique, quitte à abimer la notion même de justice. Boris Sharov porte également un regard sévère sur les accusations dont son confrère et concurrent russe, Kaspersky, fait l’objet depuis plusieurs mois.

LeMagIT : en début d’année, nous nous sommes penchés sur une fausse application Allo Resto premium, apparemment conçue pour dérober des coordonnées bancaires. Vous observez fréquemment ce genre d’incident ?

Boris Sharov : c'est notre quotidien ! Ce que vous avez rencontré là relève de la norme. C’est d’ailleurs relativement simple à faire. Cela exige un savoir-faire limité. Le but est d’obtenir des numéros de cartes bancaires pour ensuite les vendre au marché noir. Maintenant, reste à savoir où sont parties ces données, au-delà du serveur que vous avez identifié à cette occasion.

Lorsque l’on enquête sur ce genre d’épisode, on ne s’arrête pas au premier arrêt. On essaie d’aller plus loin. Il peut y avoir de nombreux rebonds, avec un premier en Russie, peut-être aussi un second, pour une arrivée en Lettonie, en Ukraine ou au Kazakhstan… n’importe où dans le monde.

LeMagIT : comment remontez-vous aux rebonds suivants ?

Boris Sharov : ça fait partie du travail de nos analystes et je dois reconnaître que je ne saurais pas vous l’expliquer. On le découvre surtout lorsqu’il s’agit de vastes opérations, comme Zeus par exemple, sur lequel nous avons longuement enquêté. Cela a été difficile de découvrir la chaîne, mais nous y sommes parvenus. Il y avait de nombreux points finaux en Ukraine ; mais je n’ai jamais demandé à mes collègues comment ils ont fait.

Je me suis habitué à ne pas poser la question… car il est arrivé que l’on parvienne à rendre des maliciels inopérants avec des méthodes allant au-delà de mon entendement, par injection de code notamment – avant que le terme ne soit popularisé.

LeMagIT : au final, à quoi ressemble l’écosystème du maliciel financier aujourd’hui ? Est-il consolidé, morcelé ?

Boris Sharov : tout d’abord, quelque chose comme ce que vous avez étudié, cela ne relève pas du maliciel financier, mais du phishing. Par contre, pour un Zeus, par exemple, je peux vous donner une petite image – sur la base de nos observations, puisque l’on a réussi à s’implanter sur plusieurs serveurs de l’infrastructure. Et là, on a trouvé beaucoup de groupes exploitant leur propre instance de Zeus.

Bien sûr, il y a eu un auteur, mais surtout, tout autour, un vaste réseau de partenaires. C’est un peu le premier vrai maliciel en mode cloud. A cette échelle, impossible d’identifier tout le monde. Au Japon, on a trouvé de quoi penser que les attaquants étaient essentiellement locaux.

LeMagIT : la question linguistique que vous évoquez renvoie à celle de l’attribution. Selon vous, reste-t-il encore une place aux marqueurs techniques dans cette activité ?

Boris Sharov : l’attribution est devenue aujourd’hui une arme politique. Pour nous, professionnels de la cybersécurité, c’est vraiment dommage. Car l’attribution, c’est le domaine du tribunal, quand il rend son verdict. Mais ce n’est aujourd’hui jamais le cas.

Bizarrement, certains qui ont beaucoup plaidé en faveur de la justice la détruisent désormais, avec leurs tentatives très maladroites d’attribution. Parce que la justice prend du temps ; il faut des mois d’enquête pour amener des acteurs malveillants devant les tribunaux et éviter de tomber dans les fausses pistes.

Alors oui, certaines attributions sont troublantes… C’est étonnant que tout ce que fait la Corée du Nord dans le monde cyber est découvert au bout d’une heure. Ils ont beaucoup de malchance (rires)… par rapport à la NSA, par exemple, dont les activités mettent des années à être révélées.

Pour la Corée, nous avons un exemple concret : un virus, découvert en Corée du Sud et tout de suite attribué au voisin du nord, bien sûr. Nous l’avons étudié, en lien avec les forces de l’ordre locales. Et de leur demander si, selon eux, ce maliciel pouvait trouver son origine dans la péninsule.

Et en effet, il y avait bien des éléments de langage cohérents avec cela dans les ressources du logiciel. Mais le niveau de compétence utilisé impliquait des personnes expérimentées, pas de simples débutants. Car un expert cherche à brouiller les pistes ; lorsque l’on laisse des indices pareils, c’est volontaire.

LeMagIT : certains vont-ils jusqu’à écrire du code à la truelle afin de se faire passer pour des amateurs ?

Boris Sharov : pas forcément à ce point-là, mais laisser des fausses pistes, oui. Lorsque l’on étudie du code, notamment pour les forces de l’ordre, on découvre des choses impressionnantes. Les attaquants sont tout de même très ingénieux dans ce qu’ils entreprennent pour se cacher.

Après, pour nous, l’enjeu c’est soit de réparer les dégâts, soit au moins de bloquer l’attaque. L’attribution, c’est après, si on a de la chance. L’analyse est bien sûr très souvent obligatoire, en particulier pour quelque chose qui fait du bruit.

Par exemple, les outils attribués à la NSA, ils comportaient justement tous ces moyens visant à brouiller les pistes, faire croire à une origine chinoise ou russe, notamment.

Pour WannaCry, on a parlé beaucoup du sud-est asiatique. Mais qu’est-ce que cette région ? Un point de concentration des intérêts communs à beaucoup de pays. Je suppose qu’il peut y avoir là des groupes influencés par la Corée du Nord. Mais pas uniquement : également par la Corée du Sud, la Chine, la Russie, les Etats-Unis, la France, n’importe qui. Alors qu’est-ce que l’on fait de tout cela ?

Grâce aux américains, le monde est devenu celui d’une justice sans faits. Il y a d’un côté la justice, et de l’autre les faits. On commence même à s’y habituer ; cela ne surprend plus.

LeMagIT : j’imagine que vous avez le même problème avec les attaques dont fait l’objet votre confrère et concurrent Kaspersky

Boris Sharov : nous n’avons aucun doute. Connaissant la personne, on ne peut pas imaginer ce dont on l’accuse. Eugène Kaspersky, comme le créateur de Doctor Web, c'est un passionné de la lutte contre la cybercriminalité. Les américains l’accusent du crime ; c’est inconcevable. C’est une question de personnalité ; dans sa tête, il ne peut pas.

Kaspersky, c’est notre meilleur concurrent ; on le croit. Ce dont on l’accuse, ça ne peut pas être de lui. C’est comme nous : si un état vient demander que l’on fasse quelque chose qui n’est pas conforme à notre éthique, on refusera. Et d’ailleurs, je suis heureux de pouvoir dire que c’est quelque chose que notre état n'a jamais fait.

LeMagIT : lorsque les attaques contre Kaspersky ont commencé, certains concurrents n’ont pas hésité à chercher à en tirer profit. Avez-vous été victimes de telles campagnes ?

Boris Sharov : non, nous sommes beaucoup plus petits et plus discrets. Et nous n’avons pas cherché à entrer sur le marché américain, même si nous pensions proposer une meilleure technologie. Et cela nous a été bénéfique. Nous aurions pu devenir aussi grands que certains, mais cela aurait été notre faiblesse : être privé d'un marché important.