Ivan Kwiatkowski: « Je n’avais pas prévu de travailler dans la cybersécurité »

Ivan habite à Clermont-Ferrand, dans le centre de la France. Il écrit des romans fantastiques, fait un peu de plongée et veut que chaque jour soit inoubliable. Il est aussi membre de l’équipe internationale Global Research & Analysis (GReAT), le groupe d’experts remarquables de Kaspersky qui a découvert Carbanak, Cozy Bear, Equation et bien d’autres menaces et malwares sophistiqués partout dans le monde.

– Ivan, la première question qui me vient à l’esprit est liée à ton nom : es-tu d’origine slovaque ?

– Plus ou moins. Mon nom est celui de mon grand-père paternel. Le patronyme « Kwiatkowski » est d’origine polonaise mais, ce qui est amusant, c’est que ce n’est même pas le cas : il a été adopté et nous ne connaissons pas son « vrai » nom, ni ses origines. Il y a certainement des racines slovaques, mais nous ne connaîtrons jamais leur nature précise.

– Tu étudies les programmes malveillants et les groupes de cybercriminels. Comment en es-tu arrivé là ? Je ne pense pas qu’il y ait une formation spécifique à l’université.

– À l’époque il n’y avait pas de formation en cybersécurité, sans parler des cours sur l’analyse de programmes malveillants ou d’autres thèmes similaires. Je n’avais pas prévu de travailler dans la cybersécurité.

En 2008, alors que je faisais une licence en informatique, j’ai pensé que j’aimerai travailler dans le domaine de l’intelligence artificielle. J’étais sur le point de partir à Vancouver pour y faire un stage et je devais annuler mon abonnement à Internet pour ne pas continuer à payer pendant que j’étais à l’étranger. J’ai contacté mon fournisseur d’accès à Internet pour lui expliquer ma situation. L’entreprise m’a dit que je devais leur envoyer un courrier (j’étais à un mois de mon départ) et qu’elle s’occuperait du reste.

C’est ce que j’ai fait, et quelques jours plus tard je n’avais plus Internet. Je n’ai jamais vu un fournisseur d’accès à Internet traiter la demande d’un client aussi rapidement ! Mais en tant qu’étudiant en informatique, je ne pouvais pas être sans Internet pendant un mois. Mon fournisseur d’accès à Internet ne pouvait pas rétablir la connexion, ou ne voulait pas le faire. J’ai donc fait quelques recherches sur la sécurité des connexions Wi-Fi pour… pirater temporairement l’accès Internet de mon voisin et utiliser sa connexion jusqu’à mon départ. Logique.

À cette époque, le protocole de chiffrement utilisé (WEP) n’était pas du tout sécurisé. Après avoir vécu cette première expérience en sécurité informatique (ou plutôt après avoir constaté son inexistence), j’ai immédiatement su que je voulais continuer à effectuer des recherches dans ce domaine pour le reste de ma vie. Il était plus sage d’en faire ma carrière plutôt que d’être arrêté à cause de ça.

J’ai presque immédiatement abandonné l’intelligence artificielle et j’ai commencé à me former seul en cybersécurité, en parallèle de mes études. Après avoir été diplômé, j’ai pu trouver un travail dans ce domaine et je n’en suis jamais parti !

– C’est marrant que tu dises ça parce que ma prochaine question est justement liée à ça : est-ce possible d’être chercheur en sécurité sans être un hacker né ?

– Je dirai que ce travail exige une certaine passion et beaucoup de dévouement, et c’est généralement ce qui attire les personnes très persévérantes. Un trait de caractère qui est propre aux hackers.

– Comment es-tu arrivé à Kaspersky ?

– J’étais à Paris et je proposais mes services en sécurité des informations à des petites entreprises. C’était intéressant mais je sentais que je voulais faire un travail qui change les choses. Il m’a semblé que la meilleure façon d’atteindre cet objectif était de me tourner vers les renseignements sur les menaces.

J’ai choisi Kaspersky en 2018, juste après que l’entreprise a eu à endurer une campagne médiatique négative très intense. Mon intuition me disait qu’une équipe de défense informatique qui avait réussi à rendre folles autant de personnes devait bien faire les choses. Maintenant que je fais partie de l’équipe, je peux dire que j’avais vu juste !

– Les membres de FireEyes ont déclaré qu’ils font preuve de discrétion lorsqu’ils révèlent publiquement un programme malveillant : ils ne se précipitent pas pour signaler publiquement un malware s’il a été créé par un organisme du gouvernement américain. Cette position est compréhensible pour une entreprise américaine. Mais qu’en est-il de GReAT ? L’équipe est internationale, avec des chercheurs de Russie, d’Occident, d’Asie… des quatre coins du monde. Comment l’équipe a-t-elle résolu ces problématiques, le cas échéant ?

– Je n’ai aucune réticence à effectuer des recherches sur un malware qui pourrait être russe, américain ou français. Même si j’en avais, les autres membres de l’équipe internationale GReAT accepteraient gentiment de travailler sur ces acteurs de menaces. Dans ce sens, nous n’avons pas de limites quant aux cybercriminels que nous pouvons suivre.

Pour approfondir, je pense que l’attaque et la défense doivent être clairement séparées. Les États-nations ont parfois de bonnes raisons pour lancer une attaque informatique, par exemple lorsqu’il s’agit de lutter contre le terrorisme, mais il arrive aussi que ce soit le contraire, notamment le vol de propriété intellectuelle. Aucun membre de GReAT n’est qualifié pour intervenir en tant qu’arbitre et déterminer quelles opérations sont légitimes. Une telle situation nous mettrait dans une position de souffrance et de dilemme.

Je pense que la meilleure façon d’aborder ce problème est de citer cette phrase de Montesquieu, philosophe français du XVIIIº siècle : « le pouvoir arrête le pouvoir ». Les États exercent leur pouvoir et nous, en tant qu’entreprise de défense informatique, nous avons le pouvoir de leur mener la vie dure. Depuis que nous existons ils doivent y réfléchir à deux fois avant de lancer des opérations d’attaque. Comme nous imposons les coûts, leur pouvoir est maîtrisé et ne peut pas être utilisé à mauvais escient, ou du moins pas tant que ça. Pour moi, c’est une raison suffisante pour justifier les recherches que je fais sur les activités informatiques, peu importe leur origine.

Je pense que la présence de Kaspersky sur le marché des renseignements des menaces est cruciale, et le seul et unique vendeur non aligné ne devrait en aucun cas être autorisé à abandonner. J’espère que nous allons traverser cette crise et continuer à travailler sur toutes les APT, et ce peu importe d’où vient l’attaque. Nous sommes des chercheurs de l’égalité des chances !

– L’équipe GReAT a organisé un webinaire en mars et a analysé les attaques informatiques en Ukraine: HermeticWiper, WisperGate, Pandora… En même temps, il y avait une vague d’attaques contre les organisations russes : wiper, attaque par déni de service ou harponnage. Pourtant, GReAT n’a rien publié de spécial sur ces attaques. Pourquoi ?

– C’est surtout une question de volume. Les attaques informatiques contre l’Ukraine ont été massives et très visibles comme elles cherchaient à avoir des effets perturbateurs : destruction des données, ransomware, etc. Bon nombre de nos concurrents ont une bonne visibilité en Ukraine ; parfois ils collaborent, ce qui permet d’avoir des données très précises sur ce qui se passe dans le pays. Tout cela donne lieu à une importante couverture médiatique.

Certaines attaques s’en prennent effectivement à la Russie, mais elles attirent moins l’attention. Nous avons parlé de certaines d’entre elles dans notre rapport privé. Nous suivons un nombre d’acteurs (qui parlent principalement chinois) actifs dans la région. Mais je n’ai pas connaissance d’activités vraiment destructrices.

– Nous avons entendu que le groupe Anonymous dit avoir abîmé certains sites russes, et il est vrai que certains sites ont été affectés. Penses-tu que ces actions « d’Anonymous » aient vraiment un lien avec ce mouvement qui existe depuis 15 ans ?

– Oh, je pense qu’Anonymous n’est plus un mouvement populaire depuis plusieurs années. Tant qu’il existe la possibilité que ce nom soit utilisé par certains cyberactivistes authentiques, il est indéniable que les APT se servent parfois de cette identité pour lancer leurs propres opérations de guerre des informations.

En général, je pense que les chercheurs ne devraient jamais tenir compte des auto-attributions et devraient se concentrer sur les éléments techniques lorsqu’ils essaient de découvrir quel groupe pourrait être responsable de l’attaque.

– Certains gouvernements européens recommandent à leurs citoyens de ne pas utiliser les produits Kaspersky. Il semblerait que la France essaie de rester neutre. Est-ce à cause des élections ? Ou les Français voient-ils le conflit en Ukraine différemment ?

– Je pense que cela dépend plus des institutions du pays que des Français. L’ANSSI, l’organe de contrôle en cybersécurité, a toujours cherché à maintenir une position neutre dans la plupart des cas. Au-delà de ça, je pense que la France a le même point de vue que le reste de l’Europe sur la guerre en Ukraine. Crois-moi, en pleine campagne pour les élections aucun politique ne veut être vu comme conciliant envers Vladimir Poutine.

– Qu’en est-il de la communication entre GReAT et les autres acteurs de la sécurité des informations ? Certaines organisations coupent les ponts avec Kaspersky. Cette décision affecte-t-elle ton travail ?

– Le principal problème est que certaines entreprises américaines nous fournissaient quelques services. Désormais, elles envisagent d’arrêter de travailler avec nous ou ont d’ores et déjà limité notre accès à leurs outils. Tout cela affecte notre capacité à réaliser nos recherches quotidiennes.

Quant aux échanges avec nos pairs du secteur… Oui, certains ne veulent plus nous parler. Même si les relations personnelles que nous avons avec d’autres chercheurs ne sont généralement pas affectées.

Dans l’ensemble, il est évident que si l’échange d’informations est réduit, les capacités de l’industrie sont affectées et les entreprises ont plus de mal à remplir leur mission.

– Comment les experts de GReAT communiquent-ils entre eux ? Organisez-vous régulièrement des réunions ? Vas-tu souvent à Moscou pour boire une bière avec tes collègues ?

– En toute honnêteté, les choses ont parfois été difficiles. Toute l’équipe est en télétravail et les diverses régions organisent des réunions hebdomadaires pour coordonner les tâches. Lorsque j’ai rejoint l’entreprise, il y avait au moins une très grosse réunion par an ainsi que notre traditionnel Security Analyst Summit, qui était jusqu’alors présentiel. Mais aucun de ces deux événements n’a eu lieu à cause de la Covid.

J’allais régulièrement à Moscou pour passer du temps avec les membres de l’équipe, mais je ne sais pas vraiment si c’est encore possible. J’espère que nous allons trouver un moyen de nous voir parce que ces voyages étaient toujours supers.