Le parcours d’att Jakubowski, de pirate amateur à spécialiste de la cybersécurité, a commencé à l’adolescence, lorsqu’il passait d’innombrables heures à disséquer et à modifier numériquement des jeux vidéo. À un moment donné, il a réussi à donner à Mario de “Super Mario Bros.” de nouvelles hauteurs de saut. Wahoo !

Plus tard, et c’est bien plus important pour son développement professionnel, il a commencé à pirater ses amis. Mais ceux-ci n’y voient pas d’inconvénient et le piratent à leur tour. C’était en 2008 et ils avaient tous conclu ce que Jakubowski (alias “Jaku”) appelle un “gentleman’s agreement” qui leur permettait d’envahir les ordinateurs des autres quand et comme ils le voulaient.

Le groupe a même fait une présentation à ce sujet à la convention de pirates informatiques ShmooCon de Washington. Sans s’en rendre compte, Jakubowski et ses amis sont devenus des White Hat Hackers.

👉🏼 Lecture complémentaire : Big Data Analytics : Qu’est-ce que c’est, comment ça marche, quels sont les avantages et les défis ?

WHITE HAT HACKING :

Les “white hat hackers“, également appelés “hackers éthiques”, utilisent leurs compétences informatiques à bon escient. Ces pirates sont spécialisés dans les tests de pénétration, qui visent à mettre en évidence des failles graves en poussant les systèmes informatiques à leurs limites.

De plus en plus d’entreprises emploient des “white hats” pour détecter les problèmes de sécurité avant les “black hats” (hackers malveillants).

Certains des hackers à chapeau blanc les plus talentueux d’aujourd’hui ont en fait commencé par être des chapeaux noirs.

Dans la plupart des cas, Jakubowski et ses camarades ont exploité des failles de sécurité connues pour obtenir un accès initial à leurs machines respectives. Et comme rien ne peut se produire avant l’accès (il compare l’accès au réseau d’une entreprise, par exemple, au fait d’être “presque comme un enfant dans un magasin de bonbons – tout est là”), la menace imminente de cette possibilité a incité chaque participant à s’assurer que son système était toujours “patché” et protégé des attaques.

“Bien souvent, un système informatique peut ne pas être patché et être vulnérable à quelque chose et ne pas être piraté jusqu’à ce qu’il devienne une cible”, explique Jakubowski, qui a dirigé pendant trois ans les opérations de cybersécurité de la société d’analyse industrielle Uptake, basée à Chicago.

“Nous nous ciblions constamment les uns les autres, nous ne pouvions donc pas jouer la sécurité et espérer que ces systèmes passent simplement inaperçus.”

Assis dans une petite salle de réunion au siège social d’Uptake, M. Jakubowski se souvient que lui et ses collègues ont également créé des sites d’hameçonnage dans le but de s’inciter à ouvrir des liens Web destructeurs (par exemple, “Hé, regardez ce tweet”) au cours d’échanges de courriels et de discussions tout à fait ordinaires. Cet exercice les a tenus en haleine tout en leur apprenant à remarquer les différences mineures – parfois presque imperceptibles – entre les sites légitimes et les sites malveillants. Comme vous le savez peut-être par expérience personnelle, le web est truffé de pièges.

“Nous avons appris à mieux nous sécuriser, mais nous avons aussi appris de nouvelles astuces qui nous ont vraiment aidés à progresser en toute légalité”, explique M. Jakubowski.

👉🏼 Lecture complémentaire : Qu’est-ce que le GPT-3 ? Tout ce que vous devez savoir

Licorne technologique, Uptake emploie des centaines de personnes et est évaluée à plus de 2 milliards de dollars. C’est donc une cible théoriquement très en vue pour les cyberintrus qui cherchent à semer la pagaille d’une manière ou d’une autre. Le travail de M. Jakubowski, de concert avec son équipe, consiste à empêcher ou du moins à atténuer ce désordre. Il estime que les jours de piratage amical qui ont marqué sa formation lui ont donné une base solide pour apprendre et grandir.

“Certains d’entre nous jouent aujourd’hui un rôle beaucoup plus important dans le domaine de la sécurité qu’à l’époque, et je pense que beaucoup d’entre nous le doivent”, déclare M. Jakubowski. “Sans ces quelques années où nous avons appris les uns des autres, je ne sais pas où nous aurions acquis ces connaissances.”

À cette époque, note M. Jakubowski, pénétrer dans les réseaux d’entreprise de la même manière que lui et ses amis pénétraient dans les ordinateurs personnels des autres était un acte illégal qui pouvait conduire les contrevenants à l’enfer judiciaire, voire pire.

Qu’est-ce que le piratage éthique ?

De nos jours, les intrus du monde entier ont la permission d’infiltrer les réseaux. C’est ce qu’on appelle le piratage éthique, et ceux qui le pratiquent sont de plus en plus nombreux. Tout comme les vaccins protègent contre les maladies en introduisant une forme affaiblie de l’agent biologique incriminé, les entreprises et les organisations gouvernementales invitent ces hackers non malveillants à pénétrer dans leurs systèmes afin de repérer les failles de sécurité et de développer des défenses plus solides.

Bien que des types de hackers éthiques aient commencé à émerger (le New York Times a écrit sur certains “malicieux mais perversement positifs” en 1981), ils étaient encore considérés comme des anomalies et des hors-la-loi en quelque sorte.

Aujourd’hui, près de dix ans plus tard, alors que la cybercriminalité coûte des milliards de dollars aux entreprises et devrait dépasser les 6 000 milliards de dollars à l’échelle mondiale d’ici 2021 (la pire cyberattaque de l’histoire, une souche particulièrement méchante de logiciels malveillants baptisée NotPetya, a coûté au moins 300 millions de dollars à la seule société FedEx), le piratage éthique est plus que jamais d’actualité. D’ici deux ans, les entreprises américaines devraient dépenser 1 000 milliards de dollars par an en procédures proactives de cybersécurité pour protéger leurs précieuses données.

À LA CHASSE : LES “PROGRAMMES DE PRIMES AUX BUGS” ET L’EXPANSION DU PIRATAGE ÉTHIQUE :

Bien que de nombreuses entreprises – en particulier les grandes entreprises comme Uptake – disposent d’un personnel de sécurité interne, elles ont également commencé à s’appuyer davantage sur des personnes extérieures qui gagnent de l’argent en participant à ce que l’on appelle des programmes de “bug bounty” (Uptake est partenaire de quelques-uns d’entre eux) qui offrent aux hackers éthiques des récompenses monétaires pour avoir trouvé et signalé – plutôt que d’exploiter illégalement – des problèmes de cybersécurité.

👉🏼 Lecture complémentaire : Qu’est-ce qu’une société SaaS ? | Exemples et signification

Jack Cable, étudiant de première année à l’université de Stanford, s’est taillé une niche lucrative dans le racket des primes aux bugs, se plaçant en tête d’un programme de 2017 appelé “Hack the Air Force” qui a versé 130 000 dollars pour plus de 200 vulnérabilités finalement découvertes. Il jouit désormais d’une réputation mondiale.

Cable a commencé à s’intéresser au piratage éthique pendant sa deuxième année de lycée. En explorant un site Web financier, il a découvert un cyberdanger potentiel : les utilisateurs pouvaient envoyer des montants négatifs à n’importe qui d’autre sur la plate-forme, ce qui réduisait ou épuisait les soldes.

Heureusement pour Cable – et encore plus pour l’entreprise – un programme de primes aux bugs lui a permis de signaler la vulnérabilité et d’être payé pour cela. Son intérêt et son implication se sont accrus à partir de là, et il a même aidé à lancer un programme à Stanford.

Bien que de nombreuses entreprises restent frileuses à l’idée de divulguer publiquement leurs failles de cybersécurité ou de donner carte blanche à des étrangers pour les découvrir, de peur d’exposer des données sensibles aux mauvaises personnes, un nombre croissant d’entre elles voient l’intérêt de le faire par le biais de politiques de divulgation des vulnérabilités qui fournissent des lignes directrices à ceux qui travaillent dans le domaine du bug bounty.

Des projets de loi du Congrès sont même en préparation, qui obligeraient les agences fédérales américaines, dont le Pentagone et le département d’État, à prendre le train en marche du bug bounty.

“Les entreprises se rendent compte que tout le monde est vulnérable et que la seule façon de devenir plus sûr est de reconnaître d’abord où l’on est vulnérable et de chercher un moyen de l’améliorer”, explique M. Cable.

Mais s’améliorer de l’extérieur vers l’intérieur exige une confiance extraordinaire. Ce point de friction est moins important qu’auparavant, mais il constitue toujours un obstacle important au progrès.

“Les entreprises de sécurité doivent se battre pour prouver qu’elles sont un atout précieux”, déclare M. Jakubowski à propos des entreprises qui fournissent des services tels que les tests de pénétration et les évaluations de vulnérabilité. “Elles vont devoir montrer qu’elles sont capables de prévenir les attaques et qu’elles seront sûres avec vos données. Parce qu’au bout du compte, c’est ce qui est vraiment important.”

Phishing, vishing et le gars d’UPS : Les astuces de l’ingénierie sociale :

Bien qu’il soit encore quelque peu entravé par son passé péjoratif, le terme “hacker” s’applique néanmoins à la fois à ceux qui rendent des services autorisés et à ceux qui causent des ravages. Les premiers sont souvent appelés “white hats”, les seconds “black hats” – des termes qui rappellent l’époque des cow-boys du Far West et qui signifient exactement ce qu’ils semblent signifier : le bien et le mal. Il existe également des “chapeaux gris” qui piratent à volonté, mais généralement sans intention malveillante.

HACKERS À CHAPEAU GRIS :

Les hackers à chapeau gris (ou Grey Hat) sont des pirates informatiques qui violent parfois les normes éthiques ou les lois, mais n’ont pas les intentions malveillantes d’un hacker à chapeau noir. Les grey hats utilisent généralement leurs compétences pour rechercher des vulnérabilités dans un système sans le consentement ou la connaissance du propriétaire. Si une vulnérabilité est trouvée, les grey hats peuvent demander une rémunération pour corriger le problème.

Outre leurs prouesses techniques, les meilleurs chapeaux noirs possèdent des compétences “douces” bien rodées qui leur permettent de “manipuler socialement” les gens par téléphone, en ligne ou en personne. En d’autres termes, ce sont des manipulateurs expérimentés qui ont une solide connaissance de la psychologie humaine et qui amènent leurs cibles à divulguer à leur insu des informations privées qu’ils utilisent ensuite pour leur infliger un traumatisme d’un type ou d’un autre.

Les cas impliquant des techniques telles que le phishing, le vishing et les manigances sur site seraient en augmentation.

“Vous pouvez avoir le système en ligne le plus robuste, dépenser tout cet argent en cryptage et en pare-feu”, explique Jennifer Arcuri, PDG et cofondatrice de Hacker House. “Mais si je me déguise en livreur UPS, que je me présente à la porte d’entrée et que je parle à votre réceptionniste, je peux très facilement faire de l’ingénierie sociale pour entrer”.

“Il y a”, souligne-t-elle, “toujours un moyen d’entrer”.

L’ingénierie sociale est devenue un tel problème, en fait, que certains chapeaux blancs se spécialisent dans sa prévention. Voici comment l’une d’entre elles, Rachel Tobac, PDG de SocialProofSecurity, explique son processus :

“Avant de faire n’importe quel type d’ingénierie sociale, je dois collecter beaucoup d’informations sur la façon dont je voudrais pénétrer dans ce système. C’est ce qu’on appelle la “collecte OSINT” – Open Source INTelligence collection. Je choisis mes cibles en fonction du nombre d’informations que je peux trouver sur elles en ligne.

Si je sais qui ils sont, qui sont leurs amis, qui sont leurs patrons, quel est leur travail, quel type de langage ou de verbiage ils utilisent dans leur vie de tous les jours, il est plus probable que je les choisisse comme cible car je peux créer un prétexte crédible et lorsque je les appelle, il me sera plus facile d’établir une relation de confiance avec eux et de les amener à faire ce que je veux.”

👉🏼 Lecture complémentaire :

Soléne Laupez Social Media Manager  chez @LCM

ARTICLES CONNEXESDU MÊME AUTEUR

0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest

0 Commentaires
Commentaires en ligne
Afficher tous les commentaires