"Chaque attaque bloquée est une victoire, peu importe le logo affiché à l'écran" - Interview Bitdefender

Entre des campagnes de scams de plus en plus travaillées à l'aide de l'IA et des ransomwares toujours plus sournois, plus que jamais les antivirus deviennent des logiciels indispensables. Et face à la diversité des menaces, ils se transforment en super-apps, multipliant les outils de défense. Sur ce secteur, l'éditeur roumain Bitdefender a su se faire une place de choix et nous explique tous les enjeux du marché.

À quoi ressembleront les menaces en 2026 ? Que se passe-t-il concrètement quand un logiciel malveillant est détecté ? Comment travaillent les différents éditeurs antivirus ? Quid de la menace quantique ? Bogdan Botezatu, Senior Director, Threat Research and Reporting Unit chez Bitdefender a accepté de répondre à plusieurs de nos questions.

Bitdefender est essentiellement le moteur silencieux qui fonctionne sous le capot pour environ 30 à 40% de l’industrie. Est-ce frustrant de voir votre technologie protéger les clients de vos concurrents, ou gardez-vous une “sauce secrète” exclusivement pour vos propres produits ?

Bogdan Botezatu : Nous ne considérons pas les autres éditeurs de solutions de sécurité comme des concurrents au sens traditionnel du terme. Les vrais concurrents sont les groupes criminels qui tentent de pénétrer les réseaux, de voler des données et d’extorquer leurs victimes. Tout le monde du côté de la défense rame dans la même direction, et lorsque notre technologie se retrouve à protéger les clients d’un autre fournisseur, nous le voyons comme une grande victoire : cela réduit les risques cyber au niveau mondial. C’est notre objectif, et nous sommes heureux d’être le partenaire privilégié d’un nombre significatif d’acteurs de premier plan.

À plus grande échelle, l’écosystème bénéficie de la diversité. Les différents fournisseurs assemblent leurs capacités de manières variées : interfaces, workflows, ensembles de fonctionnalités et philosophies différentes. Cela permet aux utilisateurs de choisir le produit qui correspond à leur façon de travailler, au lieu de forcer tout le monde dans le même moule. Cela crée aussi une pression saine pour que nous innovions, améliorions la vitesse de détection, réduisions l’empreinte et maintenions des tarifs raisonnables.

Il existe également un avantage pratique. Un paysage défensif diversifié complique la tâche des cybercriminels. Lorsque les attaquants ne peuvent pas prédire de manière fiable quelle pile de sécurité ils vont rencontrer, ils ne peuvent pas industrialiser leurs attaques aussi facilement. Un mélange varié de moteurs et d’architectures crée une sorte "d’immunité collective" : même si une couche échoue, les autres tiennent.

Donc non, ce n’est pas frustrant. Nous accordons des licences technologiques parce que cela contribue à élever le niveau pour tout le monde. Nos propres produits disposent toujours de zones où nous allons plus loin, mais dans l’ensemble, chaque attaque bloquée est une victoire, peu importe le logo affiché à l’écran.

Les antivirus deviennent des “super-apps” massives avec VPN, gestionnaires de mots de passe, protection d’identité… Est-ce une réponse technique aux menaces modernes, ou une stratégie de survie économique face à Windows Defender, gratuit et en amélioration ?

B.B : C’est d’abord une réponse technique. Le paysage des menaces ne se limite plus aux malwares basés sur des fichiers, donc un modèle AV classique laisserait les utilisateurs exposés. Les attaquants exploitent des Wi-Fi non sécurisés, des identifiants faibles, des mots de passe réutilisés, du credential stuffing, des sites de phishing, des identités volées et des données personnelles exposées. Chaque vecteur d’attaque nécessite son propre contrôle. La pile produit s’élargit parce que les attaques touchent désormais des zones qu’un moteur monofonction ne peut plus couvrir.

Nous proposons aussi un large éventail d’outils gratuits pour combler les failles de base - déchiffreurs de ransomwares, filtrage du trafic, analyse des appareils, etc. Ils existent parce que tous les utilisateurs n’ont pas besoin ou ne peuvent pas s’offrir la suite complète, et que relever le niveau minimal profite à tous. Plus nous aidons les gens à sécuriser les points faibles évidents, plus il devient difficile pour les criminels d’opérer à grande échelle.

Notre rôle est d’aller plus loin là où une protection avancée est nécessaire, et de couvrir des parties de la chaîne d’attaque qu’un antivirus basique, par conception, ne traite pas : protection d’identité, VPN sécurisé pour réseaux hostiles, hygiène des mots de passe, filtrage réseau, exposition IoT, protection multiplateforme, etc. Ce ne sont pas des “add-ons”, mais des couches défensives que les attaquants cherchent régulièrement à contourner.

Avec Kaspersky exclu des États-Unis et les tensions géopolitiques croissantes, l’Europe cherche ses champions. Bitdefender est-il la réponse européenne en matière de souveraineté numérique, ou ce concept importe-t-il peu dans un marché globalisé ?

B.B : La souveraineté numérique compte, mais pas dans le sens simpliste du “drapeau sur la boîte”. En sécurité, ce qui compte, c’est la confiance : le lieu du siège social, où les données sont traitées, la transparence des processus, et si le fournisseur opère dans un cadre juridique clair. L’Europe possède des règles strictes en matière de confidentialité et de protection des données, et le fait d’être construit dans cet environnement influence la manière dont nous concevons nos produits et gérons les données clients.

En même temps, la cybersécurité est une discipline mondiale. Les menaces viennent de partout, et les défendre exige coopération, partage de renseignements et une communauté technique forte. Aucune région ne peut se défendre seule.

Si l’Europe considère Bitdefender comme un pilier de sa souveraineté numérique, nous le prenons très au sérieux. Nous sommes une entreprise européenne avec une portée mondiale et des valeurs européennes en matière de confidentialité, sécurité et transparence. Mais nous ne nous positionnons pas comme un contrepoids à tel ou tel acteur. Nous nous concentrons sur la qualité technique, la collaboration globale et la confiance, quel que soit le pays.

La France est connue pour être très exigeante sur la confidentialité et la télémétrie. Observez-vous des comportements d’achat particulièrement différents chez les Français par rapport aux Américains ou aux Allemands ?

B.B : La France possède un cadre réglementaire qui place la protection des données au premier plan. Le RGPD et la loi Informatique et Libertés imposent des règles strictes concernant le consentement, la transparence, la minimisation des données et les droits des personnes. Cela influence la manière dont les Français choisissent leurs produits de sécurité.

Ils privilégient les fournisseurs ayant des pratiques de confidentialité solides, des politiques claires, et un strict respect des réglementations. Les clients français posent souvent des questions très détaillées : quelles données sont collectées, comment sont-elles utilisées, où sont-elles stockées, et qui peut y accéder.

Pour Bitdefender, la France est le deuxième plus grand marché en Europe après l’Allemagne, donc nous prêtons une attention particulière à ces attentes. Nous assurons des réglages de confidentialité clairs et une transparence totale.

Admettons que l'IA puisse permettre de multiplier le volume d’attaques par mille en 2026, le modèle classique de l’endpoint restera-t-il viable ? Faudra-t-il tout déplacer dans le Cloud, quitte à sacrifier un peu de confidentialité ?

B.B : Il est très improbable que l’IA soit responsable d’une multiplication par mille des attaques en 2026. Depuis plusieurs années, le nombre d’échantillons uniques de malware augmente déjà fortement à cause des crypteurs et obfuscateurs. Le modèle “endpoint classique” où tout se fait localement avec des mises à jour quotidiennes est déjà mort.

Mais l’endpoint lui-même ne disparaîtra pas. Le changement concerne l’équilibre : davantage d’intelligence et de corrélation dans le cloud, avec l’endpoint comme point d’application rapide et respectueux de la vie privée.

Si les volumes d’attaques explosaient, on ne pourrait plus se baser uniquement sur ce que voit une machine. Il faudrait des modèles cloud capables de corréler les signaux de millions d’endpoints, d’emails, d’URLs et d’événements réseau. Le cloud jouera donc un rôle crucial dans la détection, la coordination et l’entraînement des modèles.

Vous êtes partenaires de Microsoft, mais également rivaux. Apple verrouille macOS de plus en plus. Craignez-vous que les fabricants d’OS verrouillent tellement leurs systèmes au nom de la sécurité qu’ils finiront par tuer l’industrie antivirus tierce ?

B.B : Non, nous ne craignons pas d’être “locked out”. L’industrie a déjà vécu plusieurs cycles de durcissement des OS, et à chaque fois, le paysage des menaces évolue vers des zones où les fournisseurs tiers doivent toujours intervenir. Notre travail consiste à construire par-dessus ce que l’OS sécurise, pas à lutter contre lui.

Il y a aussi un aspect comportement utilisateur que l’OS ne peut pas résoudre. Une grande partie de la fraude commence sur un mobile (smishing, faux messages de livraison, faux contacts) et se termine sur un PC où la victime saisit ses identifiants ou installe un accès distant. Les attaquants exploitent le fossé entre plateformes.

Les éditeurs d’OS ne construisent pas de modèles de menace inter-écosystèmes - leurs modèles économiques s’arrêtent aux frontières de l’OS. C’est là que les fournisseurs tiers interviennent.

Vous avez récemment acquis Horangi. Est-ce le signe que la bataille du grand public est terminée et que toute la croissance se trouve désormais dans le B2B et le cloud ?

B.B : La bataille du grand public est loin d’être terminée. Les utilisateurs ont besoin de plus de protection que jamais sur leurs appareils personnels. Ce marché reste très important pour Bitdefender.

Horangi s’inscrit dans une autre dynamique. Le cloud est désormais l’infrastructure centrale des entreprises modernes - et les cybercriminels le savent. Les mauvaises configurations, l’abus d’identités, la dérive IAM, les secrets faibles, les ressources fantômes… voilà les vecteurs de compromission d’aujourd’hui, pas seulement le malware sur un PC.

L’acquisition de Horangi répond à un besoin urgent de visibilité sur l’infrastructure cloud, la posture de sécurité, les contrôles d’identité et la conformité - des domaines où la sécurité endpoint seule ne suffit plus.

Lorsque qu’un 0-day apparaît à 3h du matin, quel est le ratio humain / machine ? À quel moment l’algorithme passe-t-il la main à un analyste, et en combien de temps le correctif arrive-t-il sur mon ordinateur ?

B.B : Dans la réalité, ce sont principalement les machines qui travaillent, avec intervention humaine lorsque le modèle manque de certitude ou que l’impact semble majeur.

Pour une chaîne d’exploitation classique détectée à 3h du matin, environ 90 à 95 % du travail est automatisé : collecte de télémétrie, clustering, scoring comportemental, sandboxing, puis déploiement de règles de blocage temporaires.

Le passage à l’humain intervient lorsque trois conditions sont réunies : impact élevé, confiance inférieure à 99 %, et comportement clairement inédit. À ce moment, un analyste d'astreinte est alerté.

Pour une règle de protection (comportementale, cloud, URL/C2), le déploiement se fait en quelques secondes ou minutes. Pour une mise à jour moteur complète ou un patch, cela prend plus longtemps - quelques heures, pour passer QA et déploiement progressif. Votre ordinateur est souvent protégé en minutes, mais l’“update moteur” arrive plus tard.

Pour les attaques ciblées, les analystes deviennent indispensables pour l’attribution, la compréhension complète et les recommandations de remédiation, d’où les publications du Bitdefender Labs.

Le partage de virus entre concurrents reposait autrefois sur un “gentlemen agreement”. Existe-t-il encore aujourd’hui ou les murs commencent-ils à se dresser ?

B.B : Cet accord existe encore et fonctionne toujours bien, malgré les changements géopolitiques. Techniquement, le partage d’échantillons est plus structuré que jamais : plateformes spécialisées, ISACs sectoriels, flux inter-vendeurs.

Pour le malware “commun” du quotidien, les murs restent bas - tout le monde profite de reconnaître rapidement les menaces les plus actives de la semaine.

Les gangs de ransomware fonctionnent maintenant comme des entreprises, avec RH et support client. Ils sont organisés et si un jour ils se tournaient vers la cryptographie post-quantique, vos déchiffreurs deviendraient-ils inopérants ?

B.B : Les groupes de ransomware fonctionnent déjà comme des entreprises SaaS de taille moyenne, avec des accords de niveau de service (SLA) et des "tickets d'assistance", mais le cryptage post-quantique n'est pas leur arme la plus puissante à l'heure actuelle. Dans la pratique, la plupart des opérations de ransomware échouent non pas parce que les chercheurs en sécurité parviennent à briser leur cryptage, mais parce qu'ils configurent mal les clés, réutilisent l'infrastructure, divulguent les générateurs ou parce que les forces de l'ordre saisissent les serveurs et les clés. Nos outils de décryptage exploitent généralement ces erreurs opérationnelles, et non les faiblesses cryptographiques pures.

Le chiffrement post-quantique reste bien sûr une priorité absolue pour nous, mais 2026 est une date trop ambitieuse pour que "tout cesse de fonctionner". Il est difficile de faire passer tout un écosystème clandestin à des systèmes post-quantiques stables et bien implémentés, et les cybercriminels ne sont pas dans ce secteur parce qu'ils veulent gagner de l'argent en travaillant dur.

Pour passer à des opérations post-quantiques, ils auraient besoin de bibliothèques, de builders, de tests, et ils auraient besoin que tous leurs affiliés ne ratent pas la mise en œuvre. Cela prendrait des années, et les cybercriminels savent que la pile AES-over-ECIES actuelle fait déjà l'affaire.

Donc non, je ne perds pas le sommeil à cause des ransomwares post-quantum qui "rendront tous les décrypteurs existants obsolètes d'ici 2026". Je m'inquiète davantage des meilleures stratégies d'extorsion, des mouvements latéraux plus rapides et plus efficaces, et des courtiers en accès initial qui s'implantent dans de plus en plus de chaînes d'approvisionnement. Le quantique aura son importance, mais pas dans un plan d'action criminel à trois ans.

Tout le monde parle de ChatGPT pour rédiger des emails de phishing. Mais sur le plan du code, voyez-vous réellement des malwares capables de se réécrire en temps réel grâce à l’IA pour échapper aux heuristiques ?

B.B : La plupart des “malwares IA” dont on parle sont du marketing ou des PoCs de conférences. Concrètement en circulation, on observe surtout de l’automatisation : générateurs d’échantillons légèrement différents, scripts d’obfuscation, droppers adaptatifs. Rien de nouveau.

Les attaquants détestent les dépendances : appeler un modèle IA externe depuis un malware serait un désastre opérationnel, et exécuter un modèle local serait coûteux et bruyant.

Ce que l’on voit, en revanche, c’est l’IA autour du cycle d’attaque : phishing plus crédible, faux profils, automatismes d’ingénierie sociale, voire génération de code de base pour les loaders.

Les utilisateurs pensent souvent que les iPhones sont invulnérables. Quels types d’attaques mobiles voyez-vous actuellement - notamment en matière de smishing ou de profils malveillants - qui prouvent le contraire ?

B.B : Le modèle de sécurité de l’iPhone est solide, mais pas invulnérable. Il existe un écosystème obscur d’entreprises fournissant des outils de surveillance gouvernementale utilisant des zero-days ou des vulnérabilités non corrigées.

À grande échelle, les attaques les plus efficaces n’essaient pas de compromettre le kernel mais ciblent l’humain et l’écosystème.

En smishing : vagues de SMS ou messages imitant des livraisons, impôts, Apple ID, banques… L’utilisateur clique, tombe sur un faux site et donne ses credentials ou numéros de carte.

En profils malveillants : certains profils de configuration ou inscriptions MDM peuvent détourner le trafic, installer des certificats permettant l’interception TLS, ou donner à l’attaquant un contrôle important. Apple a renforcé la sécurité, mais l’ingénierie sociale reste efficace.

Les iPhones ne sont donc pas “bulletproof”. Ils sont simplement plus difficiles à exploiter à grande échelle, d’où un focus attaquant sur l’humain.

Votre “Active Threat Control” est célèbre. Quel est aujourd’hui le plus grand défi pour rester agressif sans bloquer des logiciels légitimes ? Avez-vous un exemple récent où la frontière était ténue ?

B.B : Le défi le plus difficile à relever, c'est que certains logiciels "normaux" partagent divers comportements spécifiques avec des applications malveillantes dans la manière dont ils interagissent avec le système d'exploitation ou modifient leur code. Certaines applications modernes se décompressent au moment de leur exécution, utilisent la compilation à la volée (JIT), s'injectent dans d'autres processus et se connectent aux API pour appliquer des mesures DRM ou anti-tricherie. Si le moteur comportemental est trop restrictif, il finira par signaler comme suspecte une partie importante de l'écosystème des jeux et de la création.

Un autre défi majeur consiste à surveiller les attaques qui reposent sur le détournement de DLL, où il est extrêmement important que nos technologies comprennent le contexte dans lequel le code s'exécute. Dans ce cas, la réputation de l'application est le facteur décisif qui détermine le degré de permissivité de l'ATC vis-à-vis du processus surveillé.

La frontière est mince lorsque quelque chose présente un comportement malveillant classique, comme l'injection de processus ou l'abus direct d'appels système, mais dans un contexte qui pourrait être légitime : débogueurs, hyperviseurs, certains outils EDR, anti-tricheurs de jeux et certains logiciels de gestion d'entreprise. Notre travail consiste à être agressifs sur le comportement tout en modélisant le contexte : qui a signé cela ? Quelle est son ampleur ? Quand l'avons-nous vu pour la première fois ? Comment se comportent des binaires similaires sur des millions de terminaux ?

Un exemple concret est celui des modules anti-triche ou anti-falsification agressifs qui s'ancrent profondément dans le système d'exploitation et utilisent des pilotes du kernel pour surveiller et bloquer d'autres logiciels. Leur comportement ressemble de manière inquiétante à celui des rootkits. La frontière est très mince : si vous bloquez trop, vous perturbez le fonctionnement d'un jeu populaire pour des millions d'utilisateurs ; si vous autorisez trop, vous créez une zone d'ombre "qui ressemble à un pilote de jeu", derrière laquelle les véritables rootkits peuvent se cacher.

Vous vous êtes aventurés dans le matériel avec Bitdefender Box. Avec l’explosion des objets connectés, peut-on vraiment protéger une maison connectée uniquement en analysant le trafic réseau, sans installer d’agent ?

B.B : Nous pouvons faire beaucoup au niveau du réseau grâce à la pile technologique actuelle de Bitdefender BOX et des appareils partenaires (nous fonctionnons également sur un groupe sélectionné de routeurs fabriqués par Netgear, ainsi que sur une multitude d'appareils CPE fournis par des opérateurs télécoms et des FAI).

Dans une certaine mesure, le trafic IoT est suffisamment prévisible : il communique avec un petit ensemble de domaines, présente des modèles de trafic simples, et tout écart (par exemple, un réfrigérateur envoyant soudainement de gros blocs cryptés vers un VPS aléatoire) est considéré comme une anomalie.

Nous savons également à quoi ressemblent les attaques contre des appareils et des services spécifiques, ce qui nous permet de les filtrer avant qu'elles n'atteignent l'appareil. La BOX et la pile technologique qui la sous-tend, qui fonctionne sur du matériel tiers, peuvent faire tout cela et bien plus encore, comme bloquer les domaines malveillants, détecter les modèles d'exploitation connus, mettre en quarantaine les appareils manifestement compromis et filtrer le trafic sortant ou entrant. Vous pouvez également appliquer certaines mesures d'hygiène, comme bloquer les protocoles faibles et restreindre l'envoi d'identifiants en texte clair.

Question personnelle : quelle attaque ou quel malware des 12 derniers mois vous a impressionné, que vous avez trouvé remarquable ou ingénieux même s’il était destructeur ?

B.B : Une tradition veut que les chercheurs évitent des termes comme “ingénieux” ou "remarquable", donc je resterai mesuré. Un groupe que nous suivons, que nous appelons Curly COMrades, a mis en place une approche intéressante : ils déploient une machine virtuelle Alpine Linux et exécutent leurs implants à l’intérieur, plutôt que directement sous Windows.

Cette astuce rend aveugle la plupart des solutions de sécurité hôte, puisque toute la logique malveillante vit dans un OS invité. Le Windows hôte semble simplement exécuter Hyper-V normalement.

Leur chaîne de livraison est particulièrement bien pensée : activation silencieuse d’Hyper-V, extraction de la VM sous un nom anodin (“WSL”), persistance via PowerShell, injection de tickets Kerberos pour mouvement latéral, création de comptes locaux de secours… et un trafic C2 masqué dans le trafic réseau normal.

Ce qui rend cela efficace, c’est la manière dont ils obtiennent une grande furtivité en exploitant des fonctionnalités Windows ordinaires, sans rootkits ni exploits exotiques. Une combinaison de patience, planification et emballage technique soigné.