L’interview de Guy-Philippe Goldstein a été réalisée par Alain Establier, lors des Assises de la Cybersécurité qui se sont tenues en octobre 2021 à Monaco 

SDBR News : Quel regard portez-vous sur les cas de piratages informatiques à des fins d’espionnage dont vous avez connaissance ?

Guy-Philippe Goldstein : Le piratage informatique est multi-cible et multi-rationnel, que ce soit volontaire ou involontaire. Le hacking de Microsoft Internet Exchange est révélateur à cet égard : un premier groupe chinois, Hafnium, arrive à exploiter le système, dans un mode d’espionnage plus ou moins classique ; avant même que Microsoft ne révèle en mars ce qui s’est passé, au moins trois autres groupes chinois ont récupéré la faille, l’ont exploitée et ont fait une razzia contre des PME et des collectivités locales américaines. Nous sommes donc passés de l’espionnage à une forme de ré-exploitation des failles, laissant la porte ouverte à une dégradation progressive du tissu économique américain. Cela fait penser un peu à l’attaque « NotPetya » de 2017, mais sous forme de test de ce qui pourrait être déployé à une autre occasion. Nous voyons donc un espionnage qui peut avoir de multiples usages.

SDBR News : N’observe t’on pas un espionnage d’État pouvant servir à des champions nationaux ?

Guy-Philippe Goldstein : Cet espionnage d’État est en grande partie chinois, même si on peut imaginer que tous les Etats le fassent bien entendu. Les Chinois se font remarquer par leur agressivité sur certains cas : exemple cité par Gordon Corera, correspondant sécurité de la BBC, évoquant la banqueroute de Nortel. Nortel a été écarté sur de nombreux appels d’offres par Huawei qui présentait des technologies similaires mais était chaque fois mieux disant. Pour la communauté du renseignement anglo-américain, il y a de très fortes présomptions que ce soit là le résultat d’une opération d’officines liées à l’État chinois pour aider un champion national. Autre exemple, l’entreprise allemande leader du photovoltaïque Solarworld, secteur hautement stratégique, où la technologie de pointe avait été pompée par des concurrents chinois avec, là aussi, des réponses bizarrement chaque fois mieux-disantes sur les appels d’offres internationaux. Il y a eu une action en justice avec des preuves apportées par le FBI, mais c’est trop tard : Solarworld, finit par déposer le bilan en 2017. La « mort à petit feu », « death by a thousand cuts » pour reprendre ce que disait Dmitri Alperovitch dès le début de la décennie, est bien réelle et elle touche tant des entreprises américaines qu’européennes. En conséquence, à partir de 2014, le FBI a commencé à nommer les groupes de pirates chinois proches de l’état chinois et faisant de l’espionnage industriel pour le compte d’entreprises chinoises. Histoire d’augmenter la pression, de démontrer de vrais capacités d’élucidation et d’attribution, et d’élever au plus haut niveau les enjeux.

SDBR News : Peut-on donc affirmer sans crainte qu’il y a une confusion entre l’État chinois et les cyber-pirates chinois ?

Guy-Philippe Goldstein : Il y a une confusion qui va même s’accélérant. Aujourd’hui en Chine, il est demandé officiellement aux entreprises du numérique d’ouvrir leurs portes quand c’est demandé par les autorités chinoises ! Un autre cas de piratage étatique qui mérite d’être évoqué est celui d’Equifax, spécialiste américain de la notation de crédit, qui a connu un sinistre estimé à 4 milliards de dollars. En septembre 2017, l’entreprise a été piratée et l’opération de remédiation a été mal conduite. Sur ce secteur de gestion de la donnée financière, il semblerait que nous soyons à nouveau dans le cadre d’une opération d’espionnage industriel, où les pirates essayaient de comprendre la gestion des algorithmes et la gestion de grandes bases de données. Non seulement la fuite de données est grave, mais en outre l’impact réputationnel est énorme pour Equifax. Ce type d’attaque cyber, élaboré sans vergogne, est du même type que celui de Microsoft Exchange où on ne se contente pas d’espionner mais où on laisse les failles ouvertes pour que d’autres groupes de cybercriminels chinois s’y engouffrent… Y a t-il intention délictuelle et politique, ou simplement criminelle ? La question est posée. Il y a aussi un certain systématisme dans les attaques sur la supply chain qui bénéficient à la fois de l’arrivée du multi-Cloud et de l’automatisation des attaques. Donc on constate un espionnage industriel de plus en plus agressif et de plus en plus sophistiqué sur la supply chain des entreprises. A nouveau la Menace augmente.

SDBR News : Et l’espionnage privé ?

Guy-Philippe Goldstein : Reste en effet le sujet du marché de l’espionnage privé qui reste à réguler mais qui est à la marge du marché de la cybersécurité. Nous avons par exemple beaucoup entendu parler de la société israélienne NSO et du logiciel Pegasus, mais la cybersécurité offensive, puisque c’est de cela dont il est question avec Pegasus, reste une part congrue du marché de la cyberdéfense israélienne (environ 5%) ; il existe des concurrents de NSO dans d’autres pays, comme Hacking Team en Italie. C’est un marché particulier qui doit être régulé, au moins dans les pays occidentaux. Ces outils sont utiles et nécessaires, sous couvert d’un mandat judiciaire, lorsque des enquêtes doivent être menées contre le grand banditisme ou le terrorisme et que la récupération de preuves est nécessaire. Ils sont d’autant plus importants depuis que nous sommes confrontés à un univers de chiffrement post-Snowden, mais il faut s’assurer qu’il n’y ait pas de prolifération de ces outils et que leur utilisation soit encadrée : non pour espionner des adversaires politiques ou des journalistes, par exemple, ce qui est inacceptable.

SDBR News : L’affaire du Watergate en 1974 n’était-elle pas un exemple d’espionnage politique sans outils numériques ?   

Guy-Philippe Goldstein : Oui bien entendu, mais avec les outils numériques il est possible de faire une opération « Watergate » démultipliée et automatisée. Donc il est vital d’encadrer ces outils. C’est ce qu’a dit Benny Gantz, le ministre de la Défense israélien, lorsqu’il a réunit sur le sujet les principaux industriels de ce secteur. C’est une industrie qui, par sa nature, ne sera jamais un des grands pôles de l’univers de la cybersécurité défensive. Ce sont des PME qui ne peuvent être revendues à des géants type Google ou Microsoft Security, car les fonds d’investissements n’auront pas d’intérêts à y investir sans espoir de grandes plus-values à la revente. Les contraintes RSE et tout simplement le risque de réputation n’autoriseront jamais d’investir dans des activités qui hors régulation stricte pourraient s’assimiler à celles de mercenaires s’attaquant aux piliers de l’État de droit ! Donc d’un point de vue capitalistique, pour les acteurs de ce marché, ce sera soit une régulation stricte – soit la marginalisation.

SDBR News : A t-on les moyens de savoir que nous sommes espionnés en temps réel ?

Guy-Philippe Goldstein : Nous sommes dans une montée perpétuelle des enchères, avec de plus en plus d’argent dépensé pour se protéger et de plus en plus de moyens mis en œuvre par les cybercriminels pour nous attaquer. C’est un phénomène de coévolution. La surface d’attaque (le monde digital) avance encore plus vite que la machine et va s’accélérer avec l’explosion de la robotisation et des systèmes autonomes qui arrivent : chaque nouvelle génération technologique provoque des failles propices aux attaques (exemple Cloud et multi-Cloud). Par ailleurs, que ce soit en matière de cybercriminalité ou d’espionnage étatique, le taux d’élucidation des affaires reste extrêmement faible. Que ce soit au FBI ou à Scotland Yard, le taux d’élucidation des piratages (avant même de parler de condamnation) est de moins de 1% ! A coté de ce constat, comme on ne peut pénaliser l’assaillant à chaque fois qu’il teste ses systèmes, le cybercriminel continue à sophistiquer sa technique « sur le tas », avec un ROI extraordinaire… Nous sommes donc bien en présence d’un phénomène de coévolution.

• Guy-Philippe Goldstein vient d'obtenir le Prix Cyber Award 2021 décerné lors de l'European Cyber Week - organisée par le Pole d'Excellence Cyber de Rennes - pour son essai "Cyberdéfense & Cyberpuissance", sorti chez Balland en mars 2020.

• Guy-Philippe Goldstein est intervenant à l'Ecole de Guerre Economique, contributeur au journal académique de l'Institute for National Security Studies à Tel Aviv et Strategic Advisor pour le fonds venture capital ExponCapital. Il est également auteur de fiction : son roman “Babel Minute Zéro” (2007), qui a été lu jusque dans certains cercles gouvernementaux en Israël, a été l'un des premiers à décrire un scénario de cyber-conflit entre la Chine et les États-Unis.

•  Les livres de Guy-Philippe: 

  https://www.amazon.fr/Guy-Philippe-Goldstein/e/B004MO68WE/ref=dp_byline_cont_pop_book_1