Hackers à louer : la sécurité absolue est un mythe

Dave Kennedy (@HackingDave) est maintenant le fondateur et conseiller principal principal en sécurité de TrustedSec, une entreprise que vous pouvez engager pour pirater vos produits, réseaux et systèmes informatiques connectés. Pourquoi feriez-vous ça ? Pour trouver des failles dans votre sécurité, bien sûr.

Kennedy appelle ce service "conseil en sécurité de l'information". Son équipe est pleine de pirates informatiques qui ont fait de l'introduction par effraction dans les systèmes informatiques une forme d'art. Le fait que Dave et son équipe passent à travers votre sécurité informatique vous permet de mieux anticiper et de vous protéger contre les attaques criminelles réelles.

Kennedy lui-même était un hacker pour la NSA. Déçu par l'éducation traditionnelle, il a préféré plutôt se concentrer sur la programmation et essayer de comprendre comment les choses fonctionnaient. Plutôt que d'aller à l'université, Dave a opté pour l'United States Marine Corps (USMC), travaillant avec la communauté du renseignement sur les cyber-opérations.

Il a été dans l'armée pendant cinq ans et a été déployé deux fois en Irak pour des missions liées au renseignement, avant de quitter le pays et de fonder TrustedSec, où il a également témoigné devant le Congrès sur la cybersécurité.

Nous avons parlé à Dave Kennedy pour connaître son point de vue sur les problèmes de sécurité auxquels font face certains des secteurs technologiques qui nous intéressent en 2019, à savoir la maison connectée, la conduite autonome et la 5G.

Maison connectée

En 2019, où tout est désormais connecté, un problème de sécurité majeur est que beaucoup d'entreprises sont d'abord des fabricants, puis des entreprises informatiques.

"Rien n'est jamais sûr à 100 % et il y a toujours des expositions, surtout dans un monde connecté", explique M. Kennedy, avant d'expliquer que la mission est de minimiser les expositions à l'avance, en renforçant la sécurité dès le départ. "Il est beaucoup plus difficile de faire face aux menaces à la sécurité lorsqu'elles sont déjà en production ou lancées, dit-il. "Nous trouvons que c'est une pratique courante de faire sortir une technologie aussi vite que possible et de s'inquiéter des implications plus tard."

M. Kennedy affirme que les entreprises doivent faire davantage pour sécuriser leur technologie, surtout en 2019, alors que tout ce que nous faisons est directement relié à Internet.

• La maison connectée est-elle un cauchemar en matière de sécurité ?

Conduite autonome

Cela ne veut pas dire qu'il n'y a pas d'entreprises qui travaillent dans l'autre sens. Dave Kennedy, lui-même propriétaire d'une Tesla, cite en exemple le plus grand nom des véhicules électriques.

"Des entreprises comme Tesla sont d'abord des éditeurs de logiciels, puis des fabricants. Bien qu'ils aient eu leurs propres antécédents en matière de problèmes de sécurité dans le passé, la réaction et la capacité de faire face aux menaces à mesure qu'elles se présentent ont été exceptionnelles et rapides, alors que les réactions d'autres fabricants sont souvent peu préparées, lentes et n'offrent aucun moyen rapide de résoudre le problème."

• Voler une Tesla ? Pas vraiment une bonne idée !

La conduite autonome est l'une des avancées technologiques les plus passionnantes pour l'équipe de TrustedSec. Kennedy m'a dit qu'il croyait qu'une véritable intégration dans l'exploitation de grands ensembles de données pour apprendre comment les machines peuvent nous conduire d'un point A à un point B va vraiment révolutionner l'expérience de conduite.

Dave prédit que d'ici 10 ans, vous serez en mesure d'appeler une voiture qui n'a pas de chauffeur et vous emmènera à votre destination : "L'idée de posséder une voiture disparaît. Vous vous préparez pour le travail, vous appuyez sur un bouton et une voiture sans conducteur vous prend et vous emmène au travail."

Cependant, il y a un piège : "Pour une conduite autonome au travail, c'est une quantité folle de données qui doit être en communication directe avec les constructeurs automobiles ou l'infrastructure qui supporte cette conduite."

C'est ce qu'on appelle les données de télémétrie, comme Dave me l'a expliqué, et il dit que c'est quelque chose sur lequel tout le monde se concentre. "La capacité d'extraire de grandes quantités de données et d'exploiter ces données pour prendre des décisions ou améliorer une technologie, dit-il, est l'objectif. Mais c'est très risqué."

"Ces données et la protection qui les entoure sont une grande préoccupation. Si un pirate s'introduit dans les serveurs qui contrôlent toutes les voitures autonomes, il serait tout à fait possible d'avoir un impact sur les flottes de véhicules en masse et par exemple - faire sortir toutes les voitures de la route sans aucune interaction avec le conducteur."

Dave Kennedy explique ainsi que si la voiture autonome va changer notre expérience de conduite, il est nécessaire de protéger ces systèmes contre les manipulations, "la route sera longue pour nous".

5G

Les progrès de la 5G augmenteront la vitesse de téléchargement, réduiront la latence et fourniront un meilleur accès pour les consommateurs réguliers, mais ces avantages sont également disponibles pour ceux qui ont des intentions plus sombres. Il y a peu de doute, la 5G permettra à un hacker d'accéder à votre système plus rapidement, et de le maintenir plus longtemps. C'est un gros problème.

Dave Kennedy s'est dit préoccupé par l'influence de Huawei et de la société chinoise sur les réseaux 5G, une histoire qui n'a pas manqué d'attirer l'attention de la presse aux États-Unis et en Europe, mais il a également parlé des problèmes de sécurité auxquels on s'attend lorsqu'on met à niveau un réseau.

"Chaque fois qu'il y a une nouvelle norme, la sécurité fait souvent défaut. Je m'attends à ce qu'il y ait des problèmes de mise en œuvre de la 5G qui exposent directement les préoccupations ou les vulnérabilités en matière de sécurité au fur et à mesure que la technologie est déployée."

Il a ajouté que plusieurs entreprises misent "vraiment beaucoup sur la 5G" afin d'accélérer l'intégration des véhicules autonomes et des produits IoT. "La plupart de ces entreprises étaient d'abord des fabricants, puis des développeurs de logiciels, et manquent généralement de contrôles en matière de sécurité."

Dave envisage la 5G comme une "grande surface d'attaque" où la capacité d'établir des communications rapides et à longue portée avec des appareils qui n'ont jamais eu ce type de connexions, créera une exposition importante pour les consommateurs.

L'avènement de la 5G et notre appétit croissant pour l'Internet des Objets créent davantage de points d'entrée pour l'invasion. Le principe est exactement le même que celui de la surveillance d'une pièce : plus vous avez de portes et de fenêtres, plus il devient difficile d'empêcher les intrus d'entrer.

Dites-m'en plus sur les braquages de banque

Dans une récente interview accordée au podcast Chips With Everything du Guardian, l'animateur Jordan Erica Webber a demandé à Dave Kennedy jusqu'où lui et son entreprise étaient autorisés à aller pour tester la sécurité d'un client et lui a expliqué comment il travaille pour certaines des plus grandes entreprises mondiales, simulant des pirates, des effractions et des attaques.

Et quand je dis effractions, je veux dire de vraies effractions. Entrer par effraction dans des bâtiments, briser des fenêtres, fracasser des portes à barreaux et forcer l'entrée dans des endroits censés être protégés par des mesures de sécurité strictes.

TrustedSec et ses clients s'entendent sur un ensemble de paramètres ou de règles pour déterminer jusqu'où les pirates peuvent aller. L'équipe a déjà pénétré par effraction dans une chambre forte d'une banque, en crochetant les coffres-forts et en se servant de ce qu'il y avait à l'intérieur. Malheureusement, ils ont dû remettre l'argent.

Que pensez-vous de la cybersécurité en 2019 ?