Guillaume Lovet (Fortinet) : « Le plus difficile à cerner : l’attaque ciblée à partir d’un programme inconnu »

Fin 2010, Fortinet, éditeur de solutions de sécurité IT, a fêté ses dix ans. La société américaine, co-fondée en octobre 2000 par Ken et Michael Xie, a développé une expertise dans le domaine de la protection des réseaux et dispose d’un portefeuille large de solutions : plates-formes pour la gestion unifiée des menaces, solutions de pare-feux applicatifs Web, de sécurité de messagerie, de sécurité de base de données, de sécurité des terminaux et de gestion de vulnérabilités.

Fortinet détient aussi une soixantaine de 60 brevets (120 en cours de brevetage). Depuis la création de la société, plus de 600 000 systèmes ont été livrés à plus de 100 000 clients dans le monde (la majorité des sociétés faisant partie du Fortune Global 500 de 2010, précise l’éditeur). Interview de Guillaume Lovet, expert anti-virus et cyber-criminalité chez Fortinet (réalisée le 23/12/10).

ITespresso.fr : Dans quelle mesure le paysage des malwares a radicalement changé en 10 ans ?
Guillaume Lovet : Si on remonte à la période 2000, on se rend compte que les créateurs de malwares exerçaient cette pratique comme un hobby. Ils le faisaient pour s’amuser, pour se lancer un challenge, pour la gloire…Entre 2004 et 2005, on bascule dans une monétisation totale de la chaîne virale. Au même moment, on arrive dans l’ère des botnets. Que se passe-t-il en 2010 ? On arrive sur des virus qui sont utilisés comme des armes dans une cyber-guerre. Les motivations des gens qui distribuent les virus ont énormément évolué en une décennie.

ITespresso.fr : Vous parlez de virus comme une arme. On est entré dans une ère de cyber-guerre. Cela ne fait plus de doutes à vos yeux ?
Guillaume Lovet : Absolument. On a observé plusieurs cas de virus destinés à faire de l’espionnage politique. Fin 2010, l’opération Aurora contre Google a surtout servi à atteindre les comptes Gmail des dissidents chinois. En 2009, le GhostNet a servi à espionner l’agenda du Dalaï-Lama afin de faire pression sur les pays qui était censé le recevoir.

En 2010, on arrive au paroxysme avec Stuxnet, dont le but était probablement de détruire physiquement un système industriel. C’est la menace la plus sophistiquée. Il suffit de regarder la taille du virus (plusieurs Mo). C’est très très rare. Ce n’est pas difficile de deviner quelle est l’origine de ce malware. C’est difficile de le dire. Il n’y a pas de preuves formelles mais de fortes présomptions. C’est le principe du rasoir d’Ockham qui s’applique : « les hypothèses les plus simples sont les plus vraisemblables » [depuis cet entretien, les soupçons visant Israël se confirment, ndlr].

ITespresso.fr : En termes de volumes de malwares, on est passé dans un autre monde en dix ans ?
Guillaume Lovet : La courbe est exponentielle. En l’an 2000, on a 50 000 virus. En 2010, on en recense plus de 200 millions. A partir du moment où cette activité commence à générer de l’argent, cela intéresse beaucoup plus de monde. L’activité du malware s’est industrialisée avec des équipes de programmeurs, de bug-tracking et de support : il est possible d’acheter des kits de botnets prêts à l’emploi entre 800 et 2000 dollars.

ITespresso.fr : A-t-on une idée précise du poids de la cyber-criminalité ?
Guillaume Lovet : Il n’existe pas de réel consensus en la matière. Un conseiller de la Maison Blanche a évoqué un impact économique d’un montant de 105 milliards de dollars par an. Cela ne me semble pas incohérent. Mais tout dépend ce que l’on prend en compte : revenus générés directement, les dommages aux entreprises (pertes de productivité, remplacement de machines infectées, etc.)… Rien que le trafic de faux anti-virus (scareware) génère un business de 180 millions de dollars par an. Et c’est une toute petite partie de l’industrie du malware.

(lire la suite de l’interview en page 2)