Mikko Hypponen : Lutter contre les virus et défendre le net

J'adore l'Internet. Vraiment. Pensez à tout ce qu'il nous a apporté. Pensez à tous les services que nous utilisons, à toute la connectivité, à tout le divertissement, les affaires et le commerce. Et tout cela se passe au cours de notre vie. Je suis sûr qu'un jour. On va écrire des livres d'histoire dans des centaines d'années, et cette époque, notre génération, sera reconnue comme la génération qui est allée en ligne, la génération qui a construit quelque chose de vraiment mondial. C'est vrai, il est certain qu'il y a des problèmes avec l'Internet, des problèmes graves, des problèmes avec la sécurité et des problèmes avec la vie privée. J'ai passé toute ma carrière à combattre ces fléaux.

Alors, permettez moi de vous montrer quelque chose. Ce que j'ai ici est « Brain ». C'est une disquette Une disquette cinq pouces un quart infectée par « Brain A » C'est le tout premier virus jamais trouvé dans un ordinateur personnel. Et nous savons exactement d'où vient « Brain ». Nous le savons car il nous le dit dans le code. Allons voir ce qu'il dit. Ok. Ça c'est le secteur d'amorçage d'une disquette infectée. Et si nous regardons de plus prêt, nous pourrons voir qu'ici, ça dit : « Bienvenue sur le donjon. » Et ça continue, en dissant, 1986, Basit et Amjad. Et Basit et Amjad ce sont des prénoms, des prénoms pakistanais. D'ailleurs, il y a un numéro de téléphone et une adresse au Pakistan.

(Rires)

C'était 1986. Nous sommes en 2011. Ça a été il y a 25 ans. Le problème des virus pour ordinateur personnel a 25 ans maintenant. Alors, il y a une année, J'ai décidé d'aller moi même au Pakistan. Regardez là : j'ai ici quelques photos prises pendant mon séjour au Pakistan. Ça c'est de la ville de Lahore, qui est à 300 Km au sud d'Abbottabad, là où ben Laden a été capturé. Voici la vue d'une rue typique. Et voici la rue ou le chemin qui mène au bâtiment, qui est le 730 Nizam dans le village d'Allama Iqbal. J'ai cogné à la porte. (Rires) Devinez-vous qui a ouvert la porte ? Basit et Amjad ! Ils sont encore là. (Rires) (Applaudissements) Celui qui est debout est Basit. Et celui qui est assis est son frère Amjad. Ce sont eux qui ont produit le premier virus pour les ordinateurs personnels. Et bien sûr, nous avons eu une discussion très intéressante. Je leur ai demandé pourquoi. Et je leur ai demandé comment ils se sentaient à propos de ce qu'ils avaient commencé. Et j'ai éprouvé un certain plaisir à savoir que les ordis de Basit et Amjad, ont été infectés des douzaines de fois par d'autres virus complètement différents au cours des années. Alors, il y a une certaine justice dans le monde, après tout.

Maintenant, les virus que nous avions l'habitude de voir dans les années 80 et 90 ne sont plus un problème évidemment. Alors, permettez moi de vous montrer de quoi ils avaient l'air. Ce que je suis en train d'exécuter est un logiciel qui me permet d'exécuter des programmes plus anciens sur un ordinateur plus moderne. Alors, permettez moi de préparer le lecteur et d'y accéder. Ce que nous avons ici est une liste de vieux virus. Alors, je vais faire exécuter quelques virus sur mon ordi.

Par exemple, commençons avec le virus « mille-pattes ». Comme vous pouvez voir en haut de l'écran, il y a un mille-pattes qui se déplace devant vous. Lorsque vous êtes infecté par un virus comme celui-ci, vous savez que vous êtes infecté, parce que vous pouvez le voir. Ici, il y en a un autre. Ça c'est le virus connu sous le nom de « Crash » inventé en Russie en 1992. Maintenant, je vais vous montrer un virus qui fait du bruit. (Bruit d'une sirène d'ambulance) Et pour le dernier exemple, devinez ce que le virus du « caminant » fait. Oui, il s'agit d'un gars qui marche d'un bout à l'autre de votre écran dès que vous êtes infecté. Alors, c'était relativement facile de savoir que vous étiez infecté par un virus, lorsque les virus étaient programmés par des amateurs et des adolescents.

Mais aujourd'hui, les virus ne sont plus programmés par des amateurs et des adolescents. Des nos jours, les virus sont un problème mondial. Ce que nous avons ici sur l'écran dans le fond est un exemple des systèmes que nous avons dans nos labos, où nous faisons le suivi des infections par virus dans le monde entier. Alors, nous pouvons voir en temps réel que nous avons bloqué des virus en Suède et au Taiwan et en Russie et n'importe où. D'alleurs, si je me branche de nouveau sur nos systèmes via l'Internet, nous pouvons avoir, en temps réel, une idée de combien de virus, de combien de nouveaux programmes malveillants nous trouvons chaque jour. Voici le dernier virus que nous avons trouvé dans un fichier nommé « Server.exe ». Et nous l'avons trouvé exactement ici il y a trois secondes -- et le précédent, il y a six secondes. Et si je fais défiler l'écran, C'est énorme. Nous trouvons des milliers, voir des centaines de milliers. Et ça c'est juste les derniers 20 minutes de programmes malveillants. Chaque jour.

Alors, d'où viennent donc tous ces virus ? Eh bien, aujourd'hui c'est le crime organisé qui écrit ces virus parce qu'ils font de l'argent avec leurs virus. Il s'agit de bandes comme... Allons voir le site de GangstaBucks.com Ça c'est un site qui opère à Moscou, où ces gens achètent des ordis infectés. Alors, si vous êtes un créateur de virus. et vous êtes capable d'infecter des ordis avec Windows, mais vous ne savez pas quoi faire avec, vous pouvez vendre ces ordis infectés -- l'ordi de quelqu'un d'autre -- à ces gens là. Et ils vont vous donner de l'argent pour ces ordis là. Alors, comment est-ce que ces gens là profitent des ordis infectés ? Eh bien, il y en a plusieurs façons. Comme, par exemple, des chevaux de Troie, qui vont voler de l'argent de votre compte bancaire lorsque vous ferez des opérations bancaires en ligne, ou des enregistreurs de frappe. Les enregistreurs de frappe se cachent discrètement dans votre ordi, et ils enregistrent tout ce que vous écrivez. Pendant que vous travaillez sur votre ordi et que vous faites de recherches sur Google, ils enregistrent chacune des vos recherches et ils l'envoient aux criminels. Chaque courriel est enregistré et envoyé aux criminels. Et c'est la même chose avec le reste, mots de passe inclus.

Mais ce qu'ils recherchent le plus ce sont des sessions où vous êtes en ligne et où vous faites des achats en ligne. Parce que lorsque vous faites des achats en ligne, vous tapez votre nom, votre adresse de livraison, votre numéro de carte de crédit et ses codes de sécurité. Et voici un exemple d'un fichier que nous avons trouvé dans un serveur il y a quelques semaines. Ça c'est le numéro de carte de crédit, ça c'est la date d'expiration, ça c'est le code de sécurité, et ça c'est le nom du propriétaire de la carte. Une fois que vous gagnez accès à la carte de crédit d'une autre personne, vous pouvez aller en ligne et acheter n'importe quoi avec cette information. Et ça, évidemment, c'est un problème. Nous avons maintenant tout un marché noir, un écosystème d'affaires construit autour du crime en ligne.

Un exemple de comment ces gens là peuvent monétiser leurs opérations. Nous allons regarder le site web de l'INTERPOL pour trouver la liste de personnes recherchées. Nous trouvons des types comme Bjorn Sundin, originaire de la Suède, et son complice, qui est aussi sur la liste de personnes recherchées par l'INTERPOL. C'est M. Shaileshkumar Jain, un citoyen américain. Ces gens là étaient aux commandes d'une opération appelée I.M.U., une affaire de crime informatique qui leur a laissé des millions. Les deux hommes sont maintenant en fuite. Personne ne sait où ils sont. Il y a quelques semaines, les autorités américaines ont fait geler un compte en Suisse appartenant à M. Jain. Il y avait 14,9 millions de dollars américains là dedans.

Alors, la quantité d'argent que le crime informatique genère est significative. Cela veut dire que les criminels informatiques peuvent se permettre d'investir dans leurs attaques. Nous savons que les criminels informatiques embauchent des programmeurs, des testeurs, ils testent leurs programmes, ils ont des systèmes dorsaux de traitement avec des bases de données SQL. Ils peuvent se permettre de surveiller notre travail -- le travail des spécialistes en sécurité -- afin de contourner toutes les mesures de sécurité que nous créons. Ils utilisent aussi la nature mondiale de l'Internet à leur avantage. Je veux dire, l'Internet est international. C'est pour ça que nous l'appelons Internet.

Si vous jetez un coup d'œil à ce qui se passe dans le monde virtuel, voici une vidéo de Clarified Networks, qui montre comment une famille de maliciel est capable de se promener dans le monde. Cette opération, que l'on croit être originaire de l’Estonie, se déplace d'un pays à l'autre dès que l'on essaie d'arrêter le site Web. Alors il est impossible de les arrêter. Ils vont passer d'un pays à l'autre, d'une juridiction à l'autre -- se déplaçant partout dans le monde, profitant du fait que nous n'avons pas le pouvoir de contrôler ce type d'opérations. Alors l'Internet fonctionne comme si quelqu'un avait donné des billets d'avion gratuits à tous les criminels informatiques du monde. Les criminels qui auparavant ne pouvaient pas nous atteindre peuvent le faire maintenant.

Alors, comment faire pour trouver des criminels informatiques ? Comment les retrouver ? Je vous donne un exemple. Ce que nous avons ici est un fichier « exploit ». Ici, nous pouvons regarder le dump d'un fichier d'image, lequel contient un « exploit ». Cela veut dire que, si vous essayez de visualiser cette image avec Windows, il prend le contrôle de votre ordi et exécute un programme.

Si vous regardez ce fichier d'image -- il y a l'en-tête du fichier, et le programme pour l'attaque commence ici. Ce programme a été crypté, alors on va le décrypter. Ça a été crypté avec XOR fonction 97. Vous n'avez qu'à me croire c'est vrai. Nous pouvons aller ici et commencer à le décrypter. La partie en jaune du code est maintenant décryptée. Je sais que ça ressemble trop à l'original, mais continuez à regarder. Vous allez voir qu'ici en bas, on peut voir une adresse URL : unionseek.com/d/ioo.exe Et lorsque vous allez ouvrir cette image dans votre ordi, en réalité vous allez télécharger et exécuter ce programme là. ça va être une porte dérobée qui permettra de prendre le contrôle de votre ordinateur.

Cependant, ce qui est encore plus intéressant est que si nous continuons à décrypter, nous trouvons cette chaîne de caractères mystérieuse qui dit O600KO78RUS. ce code est là, en dessous du cryptage comme une sorte de signature. Ça sert à rien. Et j'étais en train de regarder ça, pour comprendre sa signification. Alors, évidemment, je l'ai cherché sur Google. Je n'ai rien obtenu, ce n'était pas là-dedans. Alors, j'en ai parlé aux gars du labo. Nous avons un pair de gars ruses au labo et l'un d'eux m'a dit que le code terminait en « RUS » comme Russie, et que « 78 » était le code de la ville de Saint-Pétersbourg. Par exemple, vous pouvez le trouver sur des numéros de téléphone, sur des plaques d'immatriculation et des choses comme ça. Alors, j'ai cherché des contacts à Saint-Pétersbourg. Et après des longues recherches, nous avons trouvé ce site Web.

Voici ce Russe qui opère en ligne depuis plusieurs années. Il gère son propre site Web, il écrit un blogue dans les très populaire « LiveJournal ». Dans son blogue, il parle de sa vie, il parle de sa vie à Saint-Pétersbourg -- il est au début de la vingtaine -- il parle de son chat, de sa blonde. Il conduit une très belle voiture. D'ailleurs, ce jeune homme conduit une Mercedes-Benz S600 V12, avec un moteur six litres et plus de 400 chevaux. C'est une belle voiture pour un jeune homme dans la vingtaine à Saint-Pétersbourg.

Comment est-ce que je sais tout ça ? Parce qu'il en parle dans son blogue. Il a eu un accident de voiture. Dans le centre-ville de Saint-Pétersbourg. Il est rentré dans une autre voiture et il a mis des images de l'accident sur son blogue -- voilà sa Mercedes -- et voici la Lada Samara dans laquelle il est rentré. Vous pouvez voir la plaque d'immatriculation de la Samara: elle finit avec 78RUS. Si vous regardez la photo de la scène, vous pouvez voir que la plaque de la Mercedes est O600KO78RUS. Je ne suis pas un avocat, mais si je l'étais, c'est là que je dirais « il n'y a rien à ajouter ».

(Rires)

Alors, qu'est-ce qui se passe lorsque les criminels sont capturés ? Eh bien, dans la plus part des cas, on ne va jamais aussi loin. Dans la grande majorité de crimes informatiques, on ne sait même pas de quel continent viennent les attaques. Et même si nous pouvons trouver des criminels informatiques, souvent il ne se passe rien. La police locale n'agit pas, et si elle le fait, il n'y a pas assez des preuves, ou pour une raison ou une autre, nous ne pouvons pas les attraper. J'aimerais que cela soit plus facile, mais malheureusement, ce n'est pas le cas.

Mais les choses sont aussi en train de changer très rapidement. Vous avez entendu parler de choses comme « Stuxnet ». Regardez ce que Stuxnet a fait : il a infecté cette machine. C'est un API Siemens S7-400, un Automate programmable industriel. C'est ça ce qui contrôle notre infrastructure. C'est ça ce qui contrôle tout autour de nous. Les API, ces petites boîtes sans écran, ni clavier, sont programmés, mis en place et ils font leur travail. Par exemple, les ascenseurs dans ce bâtiment sont probablement contrôlés par une machine comme celle là. Lorsque Stuxnet infecte une des celles-ci, c'est toute une révolution dans le genre de risque dont il faut s'inquiéter parce que tout ce qui est autour de nous est contrôlé par des machines comme celle-là. Je veux dire, nous avons des infrastructures critiques. Si vous allez à n'importe quelle usine, centrale électrique, usine de produits chimiques ou entreprise de transformation des produits alimentaires, vous regardez autour de vous -- tout est contrôlé par des ordinateurs.

Tout est contrôlé par des ordinateurs, tout dépend du bon fonctionnement de ces ordis. Nous sommes devenus trop dépendants de l'Internet, des choses élémentaires comme l’électricité, évidemment, et dépendants des ordis qui fonctionnent. Et cela est quelque chose qui crée de nouveaux problèmes pour nous. Il faut qu'il y ait une façon de continuer à travailler même si les ordis nous lâchent.

(Rires)

(Applaudissements)

Alors être préparés veut dire qu'on peut faire des choses même lorsque les choses qu'on tient pour acquises ne sont pas là. Ce sont des choses très simples -- il faut penser à la continuité, aux copies de sécurité, aux choses qui comptent vraiment.

Je vous l'ai déjà dit -- (Rires) J'adore l'Internet. Vraiment. Pensez à tous les services que nous avons en ligne. Imaginez qu'un jour on vous les enlève, imaginez que vous ne les avez plus pour une raison quelconque. Je vois de la beauté dans l'avenir de l'Internet, mais je crains qu'on puisse ne pas voir ça. Je crains qu'on ait des problèmes à cause du crime informatique. Le crime informatique est la seule chose qui pourrait nous enlever toutes ces choses.

(Rires)

J'ai passé ma vie à défendre l'Internet. Et je crois que si l'on ne combat pas le crime informatique, on court le risque de tout perdre. Il faut qu'on fasse cela à l'échelle mondiale, et il faut le faire tout de suite. Ce dont nous avons besoin est d'une application de la loi au niveau mondial afin de trouver les criminels informatiques -- ces bandes organisées qui font des millions avec leurs attaques. Ça c'est beaucoup plus important que d'avoir des logiciels antivirus our des firewalls. Ce qui compte vraiment c'est de trouver les gens qui sont derrière ces attaques. Et ce qui est encore plus important, c'est de trouver les gens qui risquent de faire partie du monde du crime informatique, mais qui n'ont pas encore franchi la ligne. Il faut trouver les gens qui ont les compétences, mais qui n'ont pas les opportunités pour leur donner l'opportunité de faire le bien avec leurs compétences.

Merci beaucoup.

(Applaudissements)