Opinions
Les malwares ne doivent pas rentrer dans l’arsenal légal de lutte contre le cybercrime
Par La rédaction, publié le 27 avril 2015
Eugene Kaspersky, Fondateur et président de Kaspersky Lab
Le malware, bien que malveillant par définition, peut-il avoir des bons côtés ? Aussi surprenant que cela paraisse, certaines autorités policières pourraient répondre par l’affirmative. Un nombre croissant de techniques de piratage faisant appel à des malwares est effet employé par des organisations officielles à travers le monde. Celles-ci se servent d’outils criminels qu’elles revendiquent comme des moyens légitimes justifiés par la fin, à savoir ici la lutte contre le crime. Elles vont même jusqu’à juger leur utilisation légale. Je m’inscris en faux. Et je vois là une tendance préoccupante en règle générale, qu’il convient de tuer dans l’œuf.
Les menaces persistantes avancées (APT) sont généralement des frappes ciblées exécutées par des groupes extrêmement professionnels de pirates. Leurs principaux soutiens sont sans doute des services de sécurité étatiques partout dans le monde, pour qui Internet est une zone de guerre où ils mènent des campagnes d’espionnage et de sabotage. Cependant, il existe de plus en plus de groupes criminels employant ces mêmes outils de piratage pour commettre des vols. Par ailleurs, il existe un troisième acteur : des entreprises commerciales qui ont développé un modèle économique légitimé et lucratif reposant sur l’utilisation de services de cybercriminels.
Parmi ce troisième groupe, qui développe des logiciels espions pour le compte de divers États, figure notamment la société britannique Gamma Group. Celle-ci produit une gamme d’outils logiciels destinés à pirater des ordinateurs et des mobiles – notamment les smartphones Android et iOS – afin d’y dérober des données confidentielles, voire d’en prendre le contrôle. Ces entreprises prétendent ne vendre leurs produits qu’à des « gouvernements responsables ». Elle leur permet de pénétrer dans des ordinateurs censés appartenir à des individus soupçonnés d’avoir des visées criminelles. Bien entendu, la question de savoir quels gouvernements peuvent être considérés comme « responsables » reste sujette à interprétation, de sorte que cette activité commence maintenant à ressembler au commerce mondial des armes.
Les grands fabricants d’armement vendent des armes à différents pays, qui ne sont pas tous exactement des modèles de paix et de démocratie. Ce commerce est bien sûr largement critiqué, mais cela ne l’empêche pas d’exister.
Dans une certaine mesure, l’utilisation d’outils de cyber surveillance par les États peut se justifier. Par exemple, la ligne téléphonique d’un suspect peut être mise sur écoute moyennant une commission rogatoire en bonne et due forme ; de même, les ordinateurs des suspects peuvent être saisis et tous leurs fichiers examinés pendant une enquête. Par conséquent, quels problèmes posent des outils à la fois sophistiqués et faciles à déployer, pouvant servir à s’infiltrer à distance dans un ordinateur, s’ils ne sont utilisés que dans un cadre judiciaire avec toutes les mesures de contrôle requises ?
Voici selon moi où le bât blesse : tout d’abord, de tels outils de surveillance sont des malwares, c’est-à- dire des logiciels malveillants. Ils agissent comme tous les autres malwares : ils se glissent furtivement dans un ordinateur cible, l’infectent et y volent toutes sortes de données. En d’autres termes, un malware « légitime » se comporte exactement comme un malware criminel : il est conçu de la même façon. Pour tout logiciel antivirus, c’est une menace comme une autre : un cheval de Troie ou un outil malveillant d’administration à distance (RAT) qui doit être éliminé.
Le deuxième problème soulevé par les malwares légaux est lié au premier. Comme dans le cas du malware criminel, la victime doit être leurrée pour que son ordinateur puisse être infecté. Cela signifie que l’auteur de l’attaque doit employer certaines tactiques de social engineering pour inciter la cible à ouvrir un fichier ou à cliquer sur un lien malveillant. La tromperie est déjà une pratique discutable pour toute opération policière, mais la situation empire nettement s’il en résulte des dommages collatéraux pour des tiers parfaitement innocents. Exemple : Gamma Group faisait passer son module d’installation de spyware pour le navigateur web Firefox et n’a mis fin à cette pratique qu’une fois menacé de poursuites par Mozilla, l’éditeur de Firefox. Une autre méthode répandue d’infection des ordinateurs ciblés consiste à pirater des pages web authentiques pour y ajouter du code et lancer des attaques dites de watering hole. Dans une opération classique de surveillance policière, il ne serait pas acceptable de s’introduire de façon anonyme et sournoise dans la propriété de personnes innocentes et d’y causer des dommages. Pourtant c’est exactement ce qu’il se passe dans le cas des attaques de watering hole et autres cyberattaques.
Troisièmement, les malwares sont illégaux. Il existe de nombreux films dans lesquels on peut voir un policier essayant de persuader un juge de lui délivrer un mandat de perquisition ou encore une commission rogatoire autorisant des écoutes téléphoniques. Or, cette supervision judiciaire n’en est qu’à ses balbutiements dans le cyberespace alors même que, dans la plupart sinon la totalité des pays du monde, la création et la diffusion d’un programme malveillant, que ce soit à des fins « légitimes » ou pas, constituent un délit. Les autorités policières du monde entier ont vocation à combattre le crime, et non le perpétrer.
Enfin, un malware est facile à copier. Tout malware – à l’image de n’importe quel logiciel non malveillant – se compose essentiellement de code informatique et, si un programmeur qualifié peut mettre la main sur ce code, il sera en mesure de le reproduire sans difficulté. Il pourrait aussi bien s’agir d’un individu réellement mal intentionné, voire d’un cybercriminel susceptible d’utiliser cette technologie pour attaquer les mêmes citoyens respectueux des lois que ces outils sont censés protéger.
Pour toutes ces raisons, je pense que des termes tels que « malware légitime » ou « sécurité offensive » sont des oxymores dérangeants aux relents orwelliens du type « la guerre est la paix ». La sécurité dans notre société n’a rien à gagner si les services de police commencent à faire irruption dans les propriétés ou à arrêter des gens dans la rue sans supervision judiciaire et au mépris de toutes les procédures nécessaires pour garantir la légalité de ces interventions. De même, je pense qu’il n’est ni réaliste ni approprié d’inventer des procédures légalisant l’utilisation de malware, tout comme on a peine à imaginer des procédures autorisant la police à perpétrer des cambriolages, ou des agressions « légitimes ».