Gil Shwed, roi israélien de la cybersécurité avec Check-Point

Abonnez-vous à la newsletter

Pour le PDG de Check Point, une des principales entreprises de cybersécurité au monde, l’hyperconnexion à Internet, que la pandémie a accéléré, a fait bondir le nombre et la sévérité des menaces numériques.

Il s’est lancé dans la programmation à 13 ans. Deux ans plus tard, il commençait des études en informatique à l’Université hébraïque de Jérusalem. En 1993, à 25 ans, avec deux collègues, il a fondé Check Point, qui figure aujourd’hui parmi les entreprises de cybersécurité les plus réputées au monde, avec un chiffre d’affaires supérieur à 2,1 milliards de dollars en 2021. Gil Shwed (Jérusalem, 1968) s’est bâti une réputation dans ce secteur en développant le premier firewall [pare-feu] moderne, un type de programme informatique qui protège l’ordinateur des intrusions externes liées à la navigation sur Internet. Son invention a automatiquement été érigée en catégorie : quel que soit leur fournisseur de sécurité, tous les ordinateurs en utilisent désormais un.

Dans les forums et les événements, les interventions de Shwed sont suivies attentivement. Or le plus intéressant est probablement ce qui est passé sous silence. Cet Israélien gère des informations sous haute tension. Certaines voix signalent que des multinationales et des ministres l’ont appelé à la rescousse face à de graves crises. Il se refuse à tout commentaire : dans son entreprise, la confidentialité est une règle d’or. Shwed répond à El País par visioconférence depuis Jérusalem. Vêtu de son typique t-shirt noir, il s’exprime dans un bureau tout à fait commun. Au premier coup d’œil, nul ne pourrait présupposer qu’il accumule une fortune estimée par le magazine Forbes à près de 3,4 milliards de dollars.

L’interview remonte à une date antérieure au déploiement par la Russie des troupes en Ukraine, mais postérieure de quelques semaines à la cyberattaque contre des instances du gouvernement ukrainien attribuée à des groupes russes. Shwed et son équipe ont refusé de s’étendre sur cette question, qu’ils considèrent comme « très sensible », mais aussi d’émettre des commentaires alors que démarrait l’offensive terrestre.

EL PAÍS.- Faut-il s’inquiéter de la cybersécurité ?

GIL SHWED.- À mon avis, c’est plus nécessaire que jamais, a fortiori après deux années de pandémie durant lesquelles nous nous sommes tournés vers le numérique. Les usines et des services essentiels tels que l’eau ou l’électricité, notamment, tout est connecté et contrôlé par l’internet. À partir d’un ordinateur distant, il est possible de paralyser des hôpitaux, de changer des rails de chemin de fer ou de fermer les tuyauteries d’adduction d’eau d’une ville et, bien sûr, d’accéder à nos données personnelles (où l’on se rend, avec qui, nos antécédents médicaux, nos finances, etc.). Notre vie tout entière se heurte à un danger permanent, c’est un fait. De plus, contrairement au monde physique, le numérique rend pratiquement impossible la localisation de délinquants : un individu peut attaquer une infrastructure espagnole à partir d’Israël par le biais de serveurs installés ailleurs dans le monde.

Accorde-t-on suffisamment d’attention à ces défis ?

Il faut prendre plus d’actions. À notre niveau, nous développons des outils pour lutter contre la cinquième génération de cyberattaques. La plupart des organisations continuent de se prémunir de la quatrième, à tel point notamment qu’en Allemagne, au cœur de la pandémie, les systèmes d’un hôpital ont été séquestrés et que, pour assurer son fonctionnement, l’institution a dû revenir intégralement au mode analogique.

En quoi consiste la cinquième génération de cyberattaques ?

Nous avons identifié une série de schémas propres aux attaques de nouvelle génération. Premièrement, elles sont polymorphes : même si, souvent, elles peuvent présenter quelques similarités, il n’y en a jamais deux qui sont identiques. Deuxièmement, elles sont multifactorielles. Dans le passé, vous faisiez l’objet d’une attaque sur le Web, et c’était tout. Aujourd’hui, l’opération peut commencer par une app de jeu que l’on télécharge sur son portable et qui véhicule un malware. Ce logiciel malveillant vise votre identifiant du journal que vous consultez également sur votre ordinateur portable, auquel il va accéder pour subtiliser des données spécifiques sur cet appareil. Cette observation nous mène à leur troisième caractéristique : elles sont très difficiles à détecter et extrêmement sophistiquées. Nous avons observé la manière dont un malware modifie les caractéristiques chimiques de l’eau dans une usine de traitement de l’eau. Empoisonner tout un pays n’est pas compliqué.

Selon vous, comment peut-on se prémunir de ce type d’attaques ?

Nous devons nous protéger contre les dernières attaques détectées aujourd’hui, contre celles qui se sont produites il y a 20 ans et qui sont encore susceptibles de nous affecter, tout comme face à celles que nous n’avons pas encore connues. L’internet, les portables, les serveurs d’entreprise, le nuage et tous les appareils connectés à l’internet des objets doivent être protégés. Il faut une approche multivectorielle, qui s’appuie sur des technologies automatisées fondées sur l’intelligence artificielle. En fin de compte, c’est une question de prévention et non de dissuasion. La plupart du temps, la police n’empêche pas le délit ; elle entre en scène au moment des faits. Une action à l’effet dissuasif, qui est toutefois inopérante dans le cyberespace.

La pandémie a-t-elle contribué au boom de la cybercriminalité ?

Énormément. L’année dernière, dans le monde, le nombre d’attaques a augmenté de 60 pour cent par rapport à la précédente. Et de mon point de vue, ces chiffres vont continuer leur progression. Deux raisons expliquent cette croissance. Premièrement, le monde est désormais beaucoup plus connecté et encore plus dépendant de l’internet. Au cours de la pandémie, les gens ont consacré entre 70 et 90 pour cent de leur temps à des activités en ligne. De même, cela signifie que beaucoup d’éléments jadis protégés de l’internet ne le sont plus. Dans de nombreuses usines, les machines étaient contrôlées et entretenues manuellement. Avec la pandémie, elles ont été progressivement connectées pour permettre le travail à distance. Dans les hôpitaux, les banques, les bureaux… Tous ont permis à leur personnel d’accéder à des fonctionnalités à distance, ce qui, à son tour, démultiplie les vecteurs d’attaque. En effet, la personne qui s’immisce dans mon ordinateur peut, le cas échéant, pénétrer aussi dans les systèmes de l’entreprise qui m’emploie. Par ailleurs, les hackers ont également été confinés chez eux et ont pu consacrer plus de temps à leur travail. Leurs méthodes se sont perfectionnées.

Pendant ce temps, avez-vous aidé l’une ou l’autre entreprise à éviter sa destruction ?

Très souvent. En revanche, je ne peux pas donner de noms. Par exemple, une grande société publique qui fournit de nombreux services dans son pays nous a appelés à l’aide. Notre équipe a étudié et détecté deux malwares distincts qui la surveillaient et étaient présents dans ses systèmes depuis plusieurs mois. Nous avons stoppé près de 90.000 tentatives d’intrusion au cours des heures suivantes, installé des serveurs critiques comme système de messagerie et nettoyé 8000 ordinateurs de cette organisation. Nous ignorons le nombre de données que ces pirates informatiques lui ont subtilisées avant notre intervention. Cependant, le fait est que ces hackers auraient pu mener à sa destruction.

Ces dernières années, l’utilisation et la popularité des cryptomonnaies se sont envolées. À quel point sont-elles sûres ?

Je ne suis pas spécialisé dans ce domaine, mais il faut garder à l’esprit que, per se, de nombreuses cryptomonnaies sont des arnaques. Cela dit, malgré la grande robustesse des algorithmes de chiffrement, la faiblesse des monnaies électroniques vient des porte-monnaie électroniques, où se concentrent les actions des cyberdélinquants. De plus, elles constituent l’une des raisons à l’origine d’une telle expansion de la cybercriminalité au cours de ces derniers temps, car elles permettent de monétiser les attaques. Il est désormais très facile de payer pour se libérer d’un ransomware (ces programmes qui paralysent les systèmes informatiques et les libèrent moyennant le versement d’une somme d’argent).

Sur le dark web, est-il facile de se procurer une cyberarme [des programmes qui exploitent les vulnérabilités d’autres programmes] ?

L’opération est assez simple. Cette particularité traduit d’ailleurs l’une des grandes différences avec le monde physique : pour un groupe terroriste, il est presque impossible d’avoir accès à un avion de chasse F-35. En effet, les armes les plus sophistiquées sont soumises à des contrôles rigoureux, identifiées, extrêmement coûteuses… C’est tout le contraire qui se produit dans le cyberespace. Sur le dark web opèrent une multitude de réseaux permettant d’obtenir des cyberarmes à des prix compétitifs, voire gratuitement. Une vraie industrie. Vous pouvez même payer des tiers pour exécuter le travail ou partager les pertes et les profits avec les organisations criminelles qui offrent leurs services.

Avez-vous des preuves de l’achat de cyberarmes par l’un ou l’autre gouvernement ?

Nous nous employons à éviter toute implication dans les affaires des gouvernements. Toutefois, nous avons effectivement observé que des groupes liés aux autorités iraniennes tentaient d’accéder aux ressources surveillées par nos services d’enquête. En outre, tous les grands pays développent leurs propres cyberarmes.

Certaines entreprises, dont la société israélienne NSO Group, développent des logiciels espions utilisés contre des particuliers. À l’instar des cyberdélinquants, ils exploitent les vulnérabilités pour s’immiscer dans d’autres systèmes. Opérez-vous également contre des sociétés de droit ?

Je tiens à souligner sans ambiguïté que nous n’avons rien à voir avec cette industrie. Lorsque nos enquêteurs décèlent une faille, ils ne l’exploitent pas pour gagner de l’argent ; ils ne la vendent pas à des tiers. Nous voulons clairement nous positionner du côté de la sécurité. Notre intervention commence par une notification de la faille à son propriétaire, à qui nous fournissons toutes les données que nous avons recueillies. Nous l’aidons à résoudre le problème, puis, en bout de parcours, nous publions des informations sur cette faille.

Par LENA

Source lefigaro