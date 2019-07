Entretien | En trente ans, le Russe Eugene Kaspersky est passé de bricoleur informatique à PDG d'une des plus grandes multinationales de la cybersécurité. De passage en France fin juin, il nous a accordé un entretien sur son parcours : à la fois acteur et témoin d'un secteur toujours plus stratégique.

Pionnier de la cybersécurité devenu patron de l'un des géants du secteur, le Russe Eugene Kasperksy était en France fin juin pour appeler à un développement prospère et sûr d'internet. L'homme, réputé pour son franc-parler, accepte volontiers le qualificatif de "cyber-évangéliste" mais il est avant-tout le PDG de Kaspersky Lab, ex PME familiale devenue multinationale avec plus de 400 millions d'utilisateurs, des bureaux dans une trentaine de pays et un chiffre d'affaires de 700 millions de dollars.

Dans cette interview, il raconte ses débuts dans l'informatique jusqu'à aujourd'hui : d'abord un passe-temps puis un métier dans un secteur devenu de plus en plus central dans la vie de nos sociétés. Eugene Kasperky est né en 1965 en URSS et a grandi près de Moscou. Doué en mathématiques, il intègre la Faculté technique de l'Institut supérieur Dzerjinski dépendant du KGB, dont il sort diplômé en 1987. Après quelques années passées comme programmateur dans l'armée, il quitte son poste en 1991 pour travailler chez un vendeur de produits informatiques.

Comment avez-vous commencé ?

C'était en 1989, j'avais 23 ans. L'ordinateur avec lequel je travaillais au bureau a été infecté par un virus informatique. À l’époque, il n’y avait pas encore internet et je pense que mon poste a été infecté par une disquette. J'ai commencé à démonter mon ordinateur, à faire de la rétro-ingénierie pour comprendre comment l'appareil fonctionnait ; j'étais déjà très curieux à l'époque et je voulais saisir la logique, comment les fichiers pouvaient être infectés, comment les "nettoyer". Au début, ça n'était qu'un "hobby" : je collectais des ordinateurs, je les démontais et je distribuais mon logiciel gratuitement. Occasionnellement, j'étais appelé par des entreprises pour débarrasser leurs ordinateurs des virus. Le "business" a commencé en 1994 quand on a signé notre premier contrat en Russie, puis en Italie, en Allemagne, en Autriche, aux États-Unis...

À quels types d’attaques étiez-vous confronté à l'époque ? Étaient-elles faciles à arrêter ?

En ce temps-là, les méchants étaient des jeunes, comme des hooligans, des vandales... Ils ne faisaient pas de profits là dessus. C’était leur hobby, comme s'ils taguaient des graffitis sur internet. Certains cherchaient seulement à prouver qu'il était possible de pirater des ordinateurs. D’autres faisaient des blagues, d’autres encore faisaient du vandalisme. Mais ça n'était pas sérieux, cela n'avait rien à voir avec les activités criminelles que l'on voit aujourd'hui. Et il était assez facile de les arrêter car c’était assez basique comparé à aujourd’hui : c'était l'époque de MS DOS, de Linux et des débuts de Microsoft Windows, Office... Certains cherchaient à voler des identifiants pour accéder à internet gratuitement, rien de vraiment sérieux. Quant au virus qui avait infecté mon ordinateur en 1989, il s'appelait "Cascade 1704" : il ne pesait que 1704 octets...

Vous situez le premier tournant en 2003 ? Cette année-là, des coupures de courant massives touchent les États-Unis, le réseau téléphonique est touché en Corée du Sud également.

Oui mais on attendait ces événements avant qu'ils ne se produisent. Dès février 2003, on savait que les attaques et les menaces allaient devenir plus sérieuses. Car la cybersécurité impose non seulement de comprendre les attaques actuelles mais aussi d’anticiper sur le futur : et donc, lors d'une conférence de presse sur les virus informatiques donnée en janvier ou février 2003, nous avions prévenu qu'il était très possible d’avoir un scénario où des infrastructures seraient touchées, et pas seulement des ordinateurs de façon isolée. Et c’est arrivé peu de temps après : la panne de courant qui a touché tout le nord est des États-Unis en août. Aujourd'hui, on ne sait toujours pas qui est derrière mais je pense que les auteurs de ce virus ne voulaient pas faire de mauvaises choses. Le logiciel en cause n'était pas conçu pour faire des dégâts mais ce petit morceau de code a généré tant de trafic que les réseaux locaux se sont écroulés.

Et le deuxième tournant a eu lieu lorsque vous avez constaté que des cyberattaques étaient causées par des États ?

C’était Stuxnet, en 2010 [un programme conçu pour saboter les centrifugeuses du programme nucléaire iranien]. Mais là encore, nous savions que c’était possible depuis quelques années déjà. En 2005, j’ai défini le terme de cyberterrorisme mais j'ai banni l'utilisation de ce terme dans ma société en disant à mes salariés : 'Si vous parlez aux journalistes, n’utilisez pas ce mot.' On ne voulait pas ouvrir la boîte de Pandore.

Mais la boîte s’est ouverte toute seule ?

Non, elle l’a été par Hollywood. Vous connaissez la série de films "Die Hard" ? Piège de cristal, 58 minutes pour vivre, etc. Le quatrième volet est sorti en 2007 et il portait sur le cyberterrorisme. Dans ce film, vous pouviez voir ce qui se passait lorsque quelqu'un utilise l'informatique avec de mauvaises intentions : comme faire passer tous les feux au vert... Nous connaissions les scénarios possibles mais avant ce film, il était interdit de faire des commentaires sur ces capacités cyber. Ensuite, le premier incident dont je me souviens a eu lieu en 2007, en Estonie : le pays était en conflit avec des criminels russes qui ont lancé des attaques sur des sites internet du gouvernement. Tout était par terre.

Aujourd'hui, on sait que Stuxnet était un programme conçu par les États-Unis et Israël pour empêcher l'Iran d'obtenir l'arme nucléaire...

Oui mais ça n'est pas le rôle de mon entreprise de faire des attributions publiques d'attaques. On ne pointe pas de doigt car il est très facile de faire une erreur. Nous ne sommes pas une agence d’investigation. Finalement, les informations dont on a connaissance aujourd'hui sont venues des États-Unis via des fuites dans la presse. Les Américains et les Israéliens travaillaient au sein d'un programme qui s’appelait "Olympic games" initié par George W. Bush et poursuivi par Barack Obama.

En vous lançant dans la cybersécurité dans les années 90, imaginiez-vous que vous finiriez par travailler sur un champ de bataille ?

Non, pas du tout. Mais aujourd'hui, il est vrai que notre travail pourrait être comparé à du déminage. Quand j’ai commencé au début des années 90, nous avions affaire à des adolescents, à des hooligans du web… Mais jamais à des États. Ils n’étaient pas impliqués dans le cyber.

À quoi cela ressemble de travailler dans un tel univers ? Aux États-Unis, Kasperksy a été blacklisté car votre entreprise est russe…

Oui, ils me détestent… Mais encore aujourd’hui, cela reste très intéressant car vous travaillez dans les nouvelles technologies et en même temps, vous luttez contre les méchants, les cybercriminels. Vous protégez les systèmes et les réseaux contre les attaques. Malheureusement, il y une mauvaise nouvelle : les attaques criminelles sur internet sont de plus en plus sophistiquées et professionnelles. Et elles sont causées par des groupes criminels, pas par des États. Ces groupes arrivent à développer des cyberoutils capables de pirater des banques par exemple… Ils peuvent pirater à peu près tout ce qu’ils veulent. L’histoire la plus connue est celle du groupe qu’on appelait “Carbanak”, en 2013-2014. Les auteurs utilisaient des outils russophones et venaient de Russie, d’Ukraine, d’Europe : ils pirataient des banques et prenaient le contrôle des systèmes informatiques, créaient des faux comptes, transféraient de l’argent, retiraient de l’argent aux distributeurs… Les banques nous ont appelés en affirmant qu’elles avaient été infectées par un virus mais nous n’avons trouvé aucun virus. Quelqu’un avait “simplement” pris le contrôle des distributeurs. C’était une attaque très sophistiquée. Donc aujourd’hui, notre métier consiste toujours à contrer des attaquants débutants mais surtout à lutter contre des agresseurs criminels et contre des États. Cela rend notre travail encore plus intéressant qu’avant ! On ne s’ennuie jamais !

Pouvez-vous raconter ce qui vous est arrivé aux États-Unis ? Après l’élection présidentielle américaine de 2016 et les accusations d’ingérence de la part de la Russie, Washington a mis en place des représailles et vous avez été touché.

Ce sont des conneries. Il n’y aucun lien avec Kaspersky. Il n’y a eu aucune connexion entre ma société, mes employés et l’élection américaine. Tout cela est une histoire montée de toute pièce.

Mais vous avez décidé de déplacer vos bureaux à Zürich pour donner des signes d’indépendance à vos clients ?

Nous ne déplaçons pas nos bureaux, nous créons un centre de transparence à Zurich où nous stockerons les données de nos clients. Nous pensons qu'à l'avenir, les régulations sur les données personnelles seront de plus en plus strictes. Nous voulons stocker les données collectées en Europe à Zurich. Nous allons faire la même chose en Asie. Nous allons stocker les données là où nous les collectons. Malheureusement, internet n’est plus comme il avait été imaginé au début : un réseau ouvert avec un accès libre pour tous. Désormais, il y a des données personnelles, des données critiques et nous recevons toujours plus de demandes pour stocker ces données à l’intérieur des frontières nationales. Nous voulons être en avance sur ces régulations.

Et pour l'avenir, êtes-vous inquiet ? Internet peut-il continuer à fonctionner tout en étant sûr ?

Je l’espère ! Mais comme je travaille dans la cybersécurité, je suis forcément un peu paranoïaque ! Je pense toujours aux pires scénarios mais je pense que nous serons capables de maintenir un niveau suffisant de sécurité, dans un réseau interconnecté. Car on évoque aussi le risque d’un internet fragmenté, balkanisé. Moi, je pense que cette évolution irait à l’encontre de notre civilisation, du progrès et de l’évolution des technologies. Peut-on imaginer des services financiers déconnectés ? Non. Des voyages ? Non. Je ne crois pas que cela arrivera. Je crois que le monde va évoluer vers une architecture plus sûre, plus résistante aux attaques, plus résiliente. Il y aura des attaques mais le système devrait y survivre. Mais pour qu'il y ait immunité, il faut que le coût des attaques soit supérieur au gain espéré.

Les menaces contre les libertés vous inquiètent-elles aussi ? En Chine, l’État surveille tous ses habitants grâce à des outils informatiques dont le but n'est plus de protéger les utilisateurs…

Bonne question ! C’est un scénario à la Big Brother. Vous connaissez la série Black Mirror ? Dans l’un des épisodes, on nous présente un système qui attribue un classement aux individus en fonction de leurs comportements. Ce système est en train d’être mis en place en Chine et c’est terrifiant. Nous vivons dans un environnement qui change très vite et je suis déjà vieux, j'ai 53 ans, je me rappelle encore de l’époque où il n'y avait pas internet : je suis donc peut-être un peu réac ou conservateur ("conservative"). Je pense que tout cela est une question de générations, les plus jeunes acceptent des choses que nous n’accepterions pas. La jeune génération s’en fiche… Quant à mon entreprise, son but est de protéger les utilisateurs d'attaques informatiques mais nous ne surveillons pas les gens ou les médias…

Vous passez beaucoup de temps à voyager et à donner des conférences. Quel message voulez-vous faire passer ?

Demain, le cyber sera partout : il offrira des opportunités mais posera des problèmes de sécurité. Il faut garantir que ce système fonctionne, qu'il soit utile à tout le monde tout en étant capable de résister aux menaces. Je suis ce qu’on peut appeler un cyber-évangéliste !