Chez Google, les hackers bâtissent l’avenir de la cybersécurité

« C’est très difficile, d’expliquer mon travail. Lorsque quelqu’un me pose la question, je réponds que je garde les hackers à bonne distance de Google. » La carrière d’Heather Adkins a pris un tournant le 14 décembre 2009. Cette journée d’hiver, alors que la vice-présidente ingénierie de la sécurité chez Google retourne à son poste de travail après une ultime réunion, elle remarque un attroupement dans l’open space. Plusieurs membres du personnel observent une activité inhabituelle sur l’un des serveurs de l’entreprise, qu’ils décrivent alors comme « particulièrement intéressante ». Sous leurs yeux se déroule la première cyberattaque de grande ampleur menée contre Google : l’opération Aurora.

Une refonte totale pour la sécurité de tous

À l’origine, un simple mail reçu quelques heures plus tôt. Le message est banal mais contient un lien, en apparence inoffensif, qui libère un logiciel malveillant (malware, ndlr) dès que le destinataire clique dessus. Le programme ouvre ensuite une porte dans laquelle les pirates s’engouffrent. De l’hameçonnage basique (phishing, ndlr), en somme. Une technique aujourd’hui bien connue mais qui, à l’époque, avance masquée. « La vitesse et la capacité des assaillants à apprendre sur le tas en adaptant leurs tactiques étaient extraordinaires », rembobine Heather. Pour Google et, plus largement, pour la cybersécurité dans son ensemble, Aurora constitue un acte fondateur. « Nous avons décidé qu’il était temps d’opérer des changements radicaux, confirme Heather. Ne pas reconstruire comme avant, mais plutôt penser les choses d’une manière complètement différente, dont personne – pas même les hackers – n’aurait pu rêver auparavant. »

Dans les bureaux de Mountain View, en Californie, cette révolution se prépare en s’appuyant sur un mantra aussi simple qu’efficace : pour arrêter un hacker, il faut penser comme un hacker. Des standards de l’industrie aux technologies déployées, en passant par une refonte de l’architecture réseau, Google applique cette logique et remet tout en question. « À l’époque, en tant qu’ingénieur de la sécurité, si vous n’aviez pas travaillé pour un gouvernement ou l’un de ses sous-traitants, vous ne pouviez pas avoir été confronté à un type d’attaque aussi sophistiqué, contextualise Heather Adkins. Nous devions donc créer des équipes spécialisées, dont un groupe entièrement dédié à l’étude des hackers pour les empêcher de parvenir à leurs fins. » C’est le cas du Threat Analysis Group, qui surveille, trace et documente aujourd’hui plus de 270 acteurs malveillants partout dans le monde.

Penser comme un hacker…

Retourner les armes des hackers contre eux, c’est aussi la vocation d’une autre entité mise en place par Google : la Red Team. Une équipe composée de hackers recrutés pour tester quotidiennement les systèmes de sécurité et exposer les failles éventuelles. « Mes meilleurs ennemis », sourit Heather. Ce cocktail d’expertises, que Google transpose désormais dans la conception de ses produits pour les rendre sécurisés et résilients par défaut, lui permet d’adapter constamment ses technologies pour garder un temps d’avance sur les menaces. « C’est notre vocation principale : faire en sorte que les utilisateurs et utilisatrices se sentent en sécurité par défaut, précise Royal Hansen, vice-président ingénierie de la confidentialité, de la sûreté et de la sécurité chez Google. Et nous pensons que la meilleure façon d’y parvenir est de le faire directement à travers nos produits – dont les systèmes de défense font partie intégrante du processus de développement – grâce à des notifications qui alertent en temps réel l’utilisateur d’un potentiel risque encouru. » Avec des réponses aussi complexes que la cryptographie post-quantique, par exemple, qui permet d’empêcher le forçage des systèmes de chiffrement à clé publique et protège ainsi les internautes comme les institutions contre toute intrusion. Un travail rendu d’autant plus nécessaire par l’avènement de l’IA.

… pour bâtir l’avenir de la cybersécurité

Le Secure AI Framework (SAIF) présenté début juin 2023 s’inscrit dans ce cadre-là. Développé en lien étroit avec Mandiant – entreprise spécialisée dans le renseignement sur les cybermenaces que Google a acquise en septembre 2022 –, le SAIF s’inspire des meilleures pratiques en la matière. Sa mission ? Atténuer les risques spécifiques à l’IA, comme l’espionnage industriel, la corruption ou le vol de données confidentielles pendant leur processus de traitement par les machines. « Au fil des années, Google a adopté une approche ouverte et collaborative de la cybersécurité, reprend Royal Hansen. Cela implique de combiner le renseignement, l’expertise, l’innovation, et de s’engager à partager ces informations avec d’autres pour prévenir les risques et répondre aux attaques. C’est un peu comme si, en Formule 1, vous aviez une industrie indépendante dédiée à la sécurité des voitures ou des infrastructures et qui, chaque saison, combinait les standards en la matière avec les dernières avancées technologiques. Ce travail serait ensuite mis à disposition de toutes les écuries pour qu’elles puissent en tirer profit et concourir en toute sécurité. L’idée, c’est de faire progresser l’ensemble de l'écosystème, et le SAIF en est un parfait exemple. »

Parce que la collaboration rend Internet plus sûr pour tous, il faut aussi donner à la société civile les moyens technologiques d’agir à tous les niveaux. Des solutions comme celles apportées par l’équipe Google Cybersecurity Action Team soutiennent les efforts de sécurité et de transformation numérique des gouvernements, des infrastructures critiques et des petites comme des grandes entreprises. Et Heather Adkins de conclure : « Je suis consciente que la menace plane toujours au-dessus de nous. Et si, d’aventure, d’autres acteurs malveillants souhaitent passer à l’action, je veux qu’ils vivent la pire journée possible… »