Ivan Kwiatkowski, Kaspersky : « la cybersécurité est abordée sans traiter sa dimension sociétale »

Ivan Kwiatkowski, chercheur au sein du GReAT de Kaspersky, est récemment intervenu lors de l’édition 2022 de la conférence JSSI de l’OSSIR, pour ouvrir le débat sur l’éthique et la politique dans le renseignement sur les menaces cyber. Le prolongement d’une réflexion plus large, sur l’éthique et la cybersécurité. Il a accepté de répondre à nos questions sur le sujet.

LeMagIT : Pourquoi discuter éthique dans le domaine de la cybersécurité ?

Ivan Kwiatkowski : C’est un sujet qui n’est pas vraiment abordé dans notre domaine et je trouve que c’est un problème. Le domaine de la cybersécurité a une importance cruciale aujourd’hui dans la mesure où les gens qui la pratiquent, tous les membres de cette communauté, finalement, finissent par concentrer des responsabilités et un pouvoir importants.

On se retrouve aussi impliqués dans des disputes étatiques ou en tout cas dans des affrontements qui se déroulent dans le cyberespace. Et mon intuition a toujours été que cette place stratégique s’accompagne d’un ensemble de responsabilités et de devoirs finalement, vis-à-vis de ce pouvoir qui nous est conféré par les utilisateurs, par les sociétés qui nous emploient, et aussi en tant que citoyen.

Dans la pratique, c’est une discussion qui n’existe pas. C’est en tout cas mon sentiment. J’avais commencé mes recherches sur le sujet en 2019 pour une première conférence à Virus Bulletin. Et j’avais l’impression qu’il n’y avait pas d’état de l’art de l’éthique dans la cybersécurité, que c’était un sujet qui n’était finalement pas traité.

Dans n’importe quel autre sous-domaine de l’informatique, par exemple l’intelligence artificielle, il y a toujours des questions sur l’éthique. Parce qu’il a bien été compris qu’il y a un impact sociétal, sur les modes de vie, et qu’il faut aborder ces questions.

De son côté, la cybersécurité a toujours été abordée sous un angle purement technique, et au fond sans jamais prendre en compte la dimension sociétale de cette thématique.

Qui plus est, la plupart de ceux qui viennent à la cybersécurité sont majoritairement des personnes qui ont connu un cursus ingénieur, avec des formations fortement orientées sur la technique et la pratique. Quasiment aucune d’entre elles n’a reçu d’éducation littéraire ou philosophique, voire, ces sujets n’ont jamais été abordés durant l’éducation.

Toutes ces questions existent de fait, mais en pratique, elles sont ignorées parce que nous n’avons pas cette culture, que le domaine ne veut pas s’en mêler, et que finalement ça arrange tout le monde de fermer les yeux dessus. Mais je pense que l’on ne peut pas échapper à cette discussion.

LeMagIT : Le problème ne tient-il pas en partie à une conception simplifiée de la cybersécurité, selon laquelle (par construction) déjouer une attaque – peu importe sa provenance et ce qui l’a motivée – ce serait bien ?

Ivan Kwiatkowski : Oui, c’est bien ça. C’est une des discussions qui mérite d’être posée. Dire « attaque, mal » et « défense, bien », c’est un peu rapide dans la mesure où il y a des prestations de tests d’intrusion qui ne sont, à mon avis, pas critiquables moralement, puisqu’il s’agit de personnes qui viennent légitimement tester les défenses, aider à les améliorer. C’est de l’attaque, mais elle est faite de manière qui a une utilité sociale. De l’autre côté, la question est de savoir s’il peut y avoir des cyberattaques qui sont morales. Est-ce que l’on considère que les services secrets, dans le cadre de leurs prérogatives en tant qu’État, peuvent avoir le droit ou le besoin de conduire ces cyberattaques ? Je pense que l’on peut en discuter.

LeMagIT : On peut aussi parler des chercheurs qui s’introduisent et restent dans les consoles d’administration de rançongiciels, de chevaux de Troie, etc., à des fins de renseignement sur la menace ou de recherche à visée défensive…

Ivan Kwiatkowski : On est d’accord. Ce sont là des questions qui sont un peu moins tranchées, mais qui illustrent bien qu’il y a une ambiguïté, ou en tout cas un dilemme éthique, qui mérite d’être identifié et discuté.

Après, pour un défenseur, et l’on peut citer Eugène Kaspersky, je pense que la seule position tenable, c’est de dire qu’on va arrêter toutes les menaces d’où qu’elles proviennent. Parce que notre travail, en tant qu’éditeur d’antivirus, c’est de protéger nos clients.

Se mêler de savoir si telle attaque doit être autorisée ou pas, c’est entrer dans les prérogatives des États, se positionner comme arbitre de choses sur lesquelles, à mon avis, on n’a pas à intervenir.

Prenons un exemple assez parlant, celui des vaccins contre le Covid. Au début, il y avait beaucoup de recherche et les plus grands laboratoires qui étaient en compétition. Certains pays savaient très bien qu’ils n’auraient pas la possibilité d’acheter les brevets. Et il y a eu des attaques menées contre des sociétés telles que des laboratoires qui ont mené des recherches sur les vaccins contre le Covid.

Il est possible d’arguer du fait que la vocation d’un État est de protéger sa population. À ce titre, certains diront qu’il est légitime à conduire une cyberattaque pour dérober un secret industriel de vaccins et sauver des millions de vies. Je ne suis pas en train de défendre de cette position. Mais j’imagine sans peine d’autres le faire.

Personnellement, en tant que défenseur ou chercheur en cybersécurité, je ne veux pas être celui qui va décider si une telle attaque est légitime ou pas. Pour éviter de tomber dans ces cas de conscience, je pense qu’il faut laisser l’attaque aux attaquants et les laisser gérer l’éthique d’attaque de leur côté.

Du côté des défenseurs, l’éthique consiste à bloquer toutes les attaques, parce que c’est la mission qui nous incombe. Si d’autres sociétés décident que certaines attaques sont à bloquer et que d’autres, « amicales » sont à laisser passer, c’est leur choix. Là aussi, on peut en discuter.

LeMagIT : En quoi ce questionnement s’applique-t-il au domaine du renseignement sur les menaces ?

Ivan Kwiatkowski : Le domaine du renseignement sur les menaces, la threat intelligence, est particulier. On pense beaucoup aux menaces, mais c’est d’abord et avant tout du renseignement. Nous produisons des rapports, nous les vendons à des clients, qui s’en servent pour modifier leur comportement. Nous sommes de sociétés qui produisent du renseignement privé. C’est la définition, et je pense qu’elle est dure à contester.

Mais le renseignement, c’est un monde un peu à part. C’est un monde qui a ses propres codes, sa culture, ses procédures et sa manière d’opérer, et dans lequel nous avons fait un peu d’entrisme à travers notre domaine, mais sans avoir forcément absorbé ces codes, cette culture. Ce faisant, nous nous sommes mis dans une position délicate.

C’est particulièrement vrai lorsque l’on écrit des rapports de renseignement sur des thématiques hautement sensibles : pour ce qui est des APT, on parle très largement de cyberattaques États contre États ou États contre entreprises. On a beau prendre des précautions pour ne pas nous opposer frontalement à des États, on se retrouve tout de même au milieu de ce conflit inter-États, dans ce jeu diplomatique et politique. Et la vraie question qu’on doit se poser, c’est quel est notre rôle dans cet environnement ?

LeMagIT : Le pendant de cette question n’est-il pas : pourquoi les États ont-ils laissé se développer ces activités de renseignement privé ?

Ivan Kwiatkowski : Il n’y a pas de privatisation complète du domaine. La plupart des gouvernements au monde ont des activités de renseignement cyber. Nous avons des clients étatiques, qui achètent nos rapports. Mais ils en achètent aussi à d’autres prestataires.

La seule partie qui est visible, c’est celle du privé. Parce que nous écrivons des billets de blog, nous vendons nos rapports et puis nous parlons à la presse. Mais la threat intelligence existe aussi dans des organismes gouvernementaux. Ils n’en parlent pas parce qu’il y a des questions diplomatiques.

Et il y a forcément des intérêts partagés. Les entreprises qui sont clientes peuvent encore mieux se défendre. Les gouvernements clients peuvent découvrir des choses qu’ils ne voyaient pas avec leur propre télémétrie, leur propre visibilité.

LeMagIT : N’y a-t-il pas aussi comme intérêt que l’information sorte sans qu’un État ne soit impliqué ? En évitant donc d’éventuelles répercussions diplomatiques.

Ivan Kwiatkowski : C’est effectivement un des points cruciaux. Et d’autant plus que certains rapports ou certains articles produits par des sociétés privées s’appuient sur des informations qu’elles ne justifient pas, dont elles ne précisent pas la source et qui, manifestement, ne viennent pas d’elles. En toute vraisemblance, ces sociétés disposent de renseignements qu’elles ne peuvent pas vérifier.

En pratique, j’ai le sentiment qu’il y a un risque qu’une partie du secteur se transforme un peu en porte-parole d’agences de renseignement, pour faire du blanchiment d’informations. Des informations que ces agences ne veulent pas diffuser elles-mêmes de manière publique, mais qu’elles sont prêtes à donner au tissu industriel ou aux entreprises privées, pour qu’elles assument cette découverte. Et cela sans que les agences gouvernementales aient à gérer un processus diplomatique en parallèle.

Et ça, je pense que c’est dangereux, à plusieurs égards. Premièrement, parce que des informations qui viennent d’agences de renseignement, par exemple des interceptions, des données de netflow, des données de connexions – toutes ces métadonnées qui peuvent être aspirées par des agences de renseignement parce qu’elles ont des capacités d’interception –, ces données représentent une mine d’or. Mais nous n’y avons pas accès. Si un gouvernement les donne, est-il possible de les vérifier ? De s’assurer qu’elles n’ont pas été modifiées, qu’elles sont authentiques ? C’est très difficile à faire. Accepter de telles données nécessite donc une certaine confiance. La question n’est même pas de savoir s’il est possible de l’avoir ou pas, car en pratique, accepter change le rôle de celui qui l’accepte. Il n’est plus chercheur, mais diffuseur. Et ça, ce n’est pas tout à fait pareil.

Le second problème, est qu’à partir du moment où une ou deux entreprises du secteur font cela, à partir du moment où l’on sait qu’il y a des gens dans le secteur qui font du blanchiment de l’information, il devient très compliqué pour ceux qui ne le font pas de continuer à refuser de le faire. Quelques décisions individuelles sont susceptibles d’entraîner tout le secteur vers un rôle d’acteur et plus seulement d’observateur.

Beaucoup, comme nous, sont très contents de rester dans le rôle d’observateur : on regarde ; on ne prend pas parti ; on publie sur tout ; on reste sur l’aspect technique.

Mais le mouvement a déjà commencé. Et on aura du mal à l’enrayer.

LeMagIT : Ces réflexions peuvent complètement s’appliquer au domaine de la presse…

Ivan Kwiatkowski : Oui, je vois des parallèles avec la culture de la presse. Effectivement, une information doit être recoupée. Il faut être capable de qualifier la qualité de sa source. Dans le domaine du renseignement sur les menaces, nous avons un problème supplémentaire : la donnée technique qui est à l’origine de nos renseignements est très difficile à recouper. Je peux me tourner vers des concurrents pour leur demander s’ils ont vu passer ce que l’on a vu chez un client, mais le plus souvent, notre concurrent n’a pas de télémétrie de l’environnement de notre client.

Mais dans le cas où je recevrais un jour de l’information de la DGSE – ce qui n’est pas le cas –, ce serait encore plus difficile : il serait impensable de se tourner vers la CIA, par exemple, pour leur demander de recouper…

En pratique, un tel recoupement ne peut pas exister. Donc nous faisons confiance à nos données techniques, car ce sont les nôtres. Au-delà, pour confirmer ce qu’il y a autour, on est vraiment obligé de se croire sur parole. Et là, il y a vraiment des risques dans le domaine et des erreurs peuvent survenir.

LeMagIT : Comment l’écosystème pourrait-il traiter de ces questions et essayer d’y apporter des réponses ?

Ivan Kwiatkowski : Je suis un petit peu pessimiste sur la question. Nous avons un problème structurel. Notre métier va déranger par construction : nous sommes un peu une épine dans le pied des attaquants. Je pense qu’on peut le dire sans être arrogant. Lorsque l’on publie des rapports sur certains APT, ça ne fait pas plaisir aux entités concernées. Et c’est un souci existentiel : si jamais un État veut détruire une société, il a des moyens puissants pour le faire.

La question est de savoir comment vivre avec. Il existe plusieurs stratégies d’évitement. L’une d’entre elles consiste à utiliser un vocabulaire suffisamment large, à ne pas mentionner explicitement, à être très prudent sur les attributions, etc.

Mais au-delà, ce que je constate, c’est un alignement naissant dans le domaine avec des sociétés qui établissent qu’elles vont être plutôt du côté de tel bloc, qui travaillent quasi exclusivement sur les menaces qui viennent de l’autre côté et inversement.

Ma crainte, c’est que l’ère de la threat intelligence neutre est en train de s’achever. Je pense qu’on va aller de plus en plus vers des prestataires qui appartiennent à un bloc ou un autre, et qui vont apporter de l’information sur ce qui se passe de l’autre côté. Mais j’ai peur que la pratique holistique que l’on pratique chez Kaspersky, à horizon de dix ans, ne puisse plus exister.

LeMagIT : Une ONG ?

Ivan Kwiatkowski : Voilà, c’est ce que je disais. Pour pourvoir à ces pressions, il faudra peut-être que l’on se réinvente et que l’on trouve de nouvelles formes sociales. Est-ce que l’on pourrait faire un organe de presse spécialisé sur la threat intelligence ? Est-ce qu’on préfère une ONG ?

C’est une idée que je trouve séduisante. Mais en pratique, même les ONG ne sont pas à l’abri de se faire bombarder quand elles sont sur des théâtres de crise. Les organes de presse eux-mêmes subissent des pressions de temps à autre. Du coup, un organe de presse, ou une ONG, française ou russe ou américaine, ne se feraient-ils pas quand même taper sur les doigts par le bloc opposé juste du fait de son extraction ?

En pratique, cela pourrait toutefois résoudre certains problèmes. Mais la difficulté majeure, c’est que notre matière première est extrêmement coûteuse. Toute cette télémétrie dont on a besoin pour travailler est adossée à des produits. Elle est adossée à des sociétés qui, elles, ont une activité commerciale. Et puis encore faut-il l’infrastructure pour traiter toutes ces données. Tôt ou tard, il faut faire un énorme chèque. Sans compter le risque de déplaire au prestataire fournisseur de la télémétrie au point qu’il coupe l’accès.

En tout cas, j’aimerais explorer ça, au moins sur le plan théorique, un jour.