211service.com
Keren Elazari sur l'importance des hackers
Comment considérer les pirates utiles comme les systèmes immunitaires d'Internet peut renforcer votre sécurité et mieux préparer et sécuriser votre présence numérique.
1 août 2019
Le développement de la cybersécurité est intimement lié à l'évolution de la communauté des hackers. Keren Elazari, analyste en cybersécurité et chercheuse principale au Centre de recherche interdisciplinaire sur la cybersécurité de l'Université de Tel Aviv, a éduqué le monde dans sa conférence TED de 2014 sur l'importance de cultiver des pirates informatiques amicaux pour la protection d'Internet. Aujourd'hui, elle étudie les menaces de cybersécurité les plus urgentes et comment prévenir ces violations.
Dans cet épisode, Elazari partage son histoire de devenir hacker en tant que jeune femme en Israël et parle de l'autonomisation qu'elle a acquise en devenant un acteur important dans la communauté mondiale des hackers. Elle explique comment les entreprises, les organisations et les gouvernements collaborent désormais avec des pirates utiles en créant des programmes de primes de bogues et d'autres initiatives. Elazari explique des conseils sur ce que les entreprises devraient rechercher en matière de cybermenaces.
Business Lab est hébergé par Elizabeth Bramson-Boudreau, PDG et éditrice de MIT Technology Review. L'émission est produite par Katherine Gorman, avec l'aide éditoriale d'Emily Townsend et Mindy Blodgett. Musique de Merlean, de Epidemic Sound.
Afficher les notes et les liens :
Cyberweek de Tel-Aviv : https://cyberweek.tau.ac.il/2019/
Site Internet de Kéren : https://www.k3r3n3.com
Twitter de Keren : https://twitter.com/k3r3n3
Ted parle : https://www.youtube.com/watch?time_continue=2&v=JpFFb1jEUf0
TRANSCRIPTION COMPLÈTE
De MIT Technology Review, je m'appelle Elizabeth Bramson-Boudreau et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché.
Depuis que nous avons des systèmes informatiques, certains cherchent à briser les protections, mais ces pirates peuvent également jouer un rôle utile dans l'identification des lacunes en matière de cybersécurité et l'identification des menaces futures.
Ceci est le dernier épisode de notre série sur la cybersécurité. Et aujourd'hui, on parle de piratage.
Depuis les premiers jours d'Internet, il y a eu des cyber-experts sympathiques, y compris notre invité et ces pirates ont été essentiels à la santé du système immunitaire d'Internet. Keren Elazari est analyste en cybersécurité et chercheuse principale au Centre de recherche interdisciplinaire sur la cybersécurité de l'Université de Tel Aviv.
Elizabeth Bramson-Boudreau : Keren, bienvenue au Business Lab.
Cool Elazari : Salut. Je suis heureux d'être ici. Je suis heureux de saisir cette occasion pour parler de ce que nous pouvons apprendre des pirates et de la façon dont les pirates jouent un rôle essentiel dans la société de l'information d'aujourd'hui.
Elisabeth : D'accord. Alors c'est super. Commençons car je veux vraiment parler du concept du hacker comme quelque chose à célébrer. Je pense que beaucoup de gens en sont venus à croire que les hackers menaçaient et que vous abordez la question d'un point de vue très différent. Avant d'entrer dans le vif du sujet et de parler de votre point de vue, pouvez-vous nous en dire un peu plus sur vous et comment vous êtes devenu un tel leader et une sorte d'avant-garde sur ce sujet ?
Cool: Bien sûr, Élisabeth. J'ai commencé mon chemin dans le cybermonde, dans le domaine numérique, si vous voulez, quand j'étais très jeune. J'avais peut-être 11 ou 12 ans lorsque nous avons eu accès à Internet pour la première fois en Israël, à Tel Aviv, où j'ai grandi. Et j'ai supplié mes parents d'avoir un ordinateur à moi que je pourrais connecter à Internet. À cette époque, vous deviez en quelque sorte trouver par vous-même comment faire fonctionner le modem, comment vous connecter aux bons serveurs, comment configurer votre ordinateur.
Et puis une fois en ligne, c'était vraiment à vous de trouver votre chemin. Et heureusement, j'ai trouvé ma voie avec des salons de discussion et des groupes en ligne pour les personnes passionnées de technologie comme moi. Et j'apprenais l'anglais en tapant et en parlant à ces gens dans des forums de discussion qui n'avaient aucune idée qu'ils parlaient à une fille de 13 ans de Tel-Aviv.
Pour eux, j'étais juste un autre hacker, juste une autre personnalité en ligne derrière le surnom. Et c'est là, sur ces salles en ligne, que j'ai appris à apprécier à quel point les personnes qui se disent hackers peuvent être curieuses, créatives, innovantes. Et vers l'année 1995, c'est là que ma vie a vraiment changé parce que c'est à ce moment-là que j'ai vu le film 'Hackers' avec Angelina Jolie dépeignant un féroce hacker de lycée. Et quand j'ai vu ce film, je me suis vraiment connecté. J'ai immédiatement résonné avec l'histoire que ce film a montré.
Et c'était l'histoire de ce groupe de hackers du lycée qui sont tous un peu, vous savez, des cinglés ou des étrangers. Mais ensemble, en tant que groupe, ils ont en fait empêché une catastrophe écologique. Ils ont découvert la corruption des entreprises. Ils ont montré au FBI où se cachait le véritable cybercriminel.
Et c'est ce groupe d'enfants qui ressemblait beaucoup à moi et écoutait la même musique que moi et avait la même idéologie que moi. C'est le groupe d'enfants qui m'a montré qu'être un hacker peut en fait signifier que vous êtes le héros de l'histoire. Heureusement, j'ai pu prendre cette image du hacker en héros et l'image de cette jeune femme puissante représentée par Angelina Jolie et en faire ma réalité. J'ai décidé que ce serait mon modèle et que j'aimerais être un hacker amical, un hacker qui aide les organisations et les nations à comprendre les problèmes de sécurité afin que nous puissions créer de meilleurs systèmes et que nous puissions empêcher, vous savez, des résultats catastrophiques. de cyberattaques.
Tout au long de ma carrière, depuis ces, vous savez, le milieu des années 90, c'est le point de vue que j'ai toujours défendu. Maintenant, j'ai travaillé avec différents types d'organisations, avec des agences gouvernementales. J'ai servi dans l'armée israélienne. J'ai travaillé avec des entreprises technologiques israéliennes de premier plan. Et dans tous ces endroits, j'ai apporté ce point de vue de hacker et en particulier le point de vue de ce sympathique hacker -- comment pouvons-nous réellement résoudre ce problème ? Comment pouvons-nous créer quelque chose de mieux ? C'est donc la perspective que j'ai eue au cours des 25 dernières années, je suppose, presque dans ma carrière dans le monde de la cybersécurité.
Elisabeth : Je veux dire, je suppose intuitivement que je comprends pourquoi les hackers sont des étrangers et, vous savez, entre guillemets, des 'bizarres'. Mais qu'y a-t-il dans cette communauté qui la rend si, souvent, si idéologiquement motivée ?
Cool: C'est mon point de vue que les pirates ont tendance à être des étrangers. Oui. Mais nous avons aussi tendance à être extrêmement passionnés par la technologie. Et cela peut parfois conduire à des résultats frustrants lorsqu'un groupe de pirates identifie un problème et que nous essayons de le résoudre, mais nous n'obtenons pas l'attention dont nous avons besoin, ou nous sommes immédiatement qualifiés de criminels ou de vandales. Et cela conduit souvent à ce résultat où les gens nous voient comme ayant, vous savez, peut-être un point de vue potentiellement malveillant. Beaucoup de hackers que je connais ont, vous savez, peut-être pas la même idéologie, mais tous partagent des idéaux très passionnés sur le rôle de la technologie dans notre vie, le rôle de l'accès à l'information sur cette idée que les gens devraient avoir accès à la connaissance et l'information, que la technologie ne devrait pas seulement appartenir aux grandes entreprises et non seulement être quelque chose à laquelle les gens avec beaucoup d'argent ou de privilèges ont accès, mais plutôt qu'internet et cette technologie sont quelque chose qui devrait être démocratisé. Et je pense que c'est peut-être une idéologie que vous retrouverez chez beaucoup de hackers.
D'où est ce que ça vient? est une bonne question. Et ce n'est pas comme si tous les hackers partageaient le même point de vue ou la même idéologie. Mais dans les années 80, il y avait ce document magique qui a fait le tour du BBS, des systèmes de babillards électroniques, et plus tard, des premiers magazines Web et ce document s'appelait 'The Hacker Manifesto'. Et dans 'The Hacker Manifesto', la personne qui l'a écrit parle des personnes qui s'intéressent à la technologie comme étant des hackers, des personnes qui veulent explorer le monde numérique pour tout ce qu'il a sans aucune barrière, et que ce sont ces personnes qui voudraient s'appellent eux-mêmes des pirates. C'est donc de là que vient cette idéologie. Bien sûr, dans les années 90, il y avait aussi pas mal d'éléments criminels et le crime organisé en particulier, qui ont adopté le nouveau potentiel que l'internet et le monde de la technologie peuvent leur offrir. Et ces personnes devraient être qualifiées de cybercriminels. Ils peuvent utiliser des compétences ou des capacités de piratage, mais ils ne partagent pas nécessairement les mêmes idéologies que les pirates avec lesquels j'ai grandi et que je représente.
Elisabeth : Parlons un peu plus de cette idée du hacker amical. Les auditeurs de Business Lab dirigent des entreprises et sont très soucieux de protéger cette entreprise contre les cybermenaces. C'est votre point de vue et j'aimerais en savoir plus à ce sujet, que les pirates peuvent aider à trouver des problèmes techniques et peuvent en quelque sorte agir comme une sorte de système immunitaire. Alors, que diriez-vous aux personnes qui dirigent leur entreprise ?
Comment devraient-ils penser au monde des hackers et à quoi devraient-ils penser lorsqu'ils sont préoccupés par la cybersécurité et ce genre de décisions qu'ils devraient prendre pour maintenir ou favoriser une plus grande sécurité dans ces entreprises ?
Cool: Absolument. Donc, mon point de vue est que les pirates peuvent être le système immunitaire de notre nouvelle réalité connectée. Et pour les auditeurs du podcast qui veulent en savoir plus à ce sujet, je leur recommande de consulter ma conférence TED 2014, qui s'intitule 'Les pirates sont le système immunitaire d'Internet'.
Depuis 2014, j'ai partagé ce message selon lequel les pirates peuvent être des alliés utiles avec une variété d'organisations et de personnes différentes. Et étonnamment, au cours des deux dernières années, de plus en plus d'entreprises ont découvert l'intérêt de travailler avec l'écosystème convivial des hackers. Et une excellente façon que cela se produise réellement est le phénomène connu sous le nom de programmes de primes de bogues. Ainsi, ces programmes de primes de bogues - parfois appelés programmes de divulgation de vulnérabilité ou programmes de récompense de vulnérabilité - sont en fait des cadres gérés par de très grandes entreprises, des entreprises comme Google, Facebook, Yahoo, Microsoft, Samsung et même des entreprises qui ne sont pas strictement des entreprises technologiques, des entreprises comme United Airlines, par exemple, ou Western Union ou même Starbucks, la chaîne de café. Toutes ces entreprises ont en fait mis en place un programme de primes aux bogues.
Et cela signifie qu'ils invitent activement des pirates informatiques amicaux à regarder leur produit, que ce soit leur application, leur site Web. C'est peut-être une voiture. Dans le cas de Tesla, qui entretient une relation de longue date avec les pirates. Et ils disent essentiellement aux pirates, Regardez notre produit.
Si vous trouvez des vulnérabilités, si vous pouvez découvrir des failles de sécurité et si vous pouvez nous parler de ces problèmes, nous vous récompenserons pour vos efforts, et ces récompenses, ces primes, elles pourraient prendre la forme d'argent payé en cartes de crédit prépayées ou les cartes de débit, par exemple, mais elles peuvent aussi être une forme de rémunération non monétaire qui a en fait une grande valeur symbolique dans l'écosystème des hackers. Ainsi, par exemple, cela pourrait être du swag, des t-shirts ou des chapeaux ou des expériences uniques.
Par exemple, je me souviens d'une certaine année où Microsoft a sorti l'un des plus grands clubs de Las Vegas et a réservé l'un des plus grands D.J. et l'accès à cette fête. Et ce club avec ce deejay superstar n'était accordé qu'à ces chercheurs, ces pirates sympathiques qui ont identifié les vulnérabilités et les ont divulguées au programme de Microsoft. Dans un autre cas…
Elisabeth : Alors c'est devenu au fur et à mesure que c'est devenu une chose de statut, une sorte d'insigne d'honneur à inviter ?
Cool: Il y a certainement un élément de statut. Et en fait, l'une des raisons pour lesquelles les programmes de primes aux bogues connaissent un tel succès est qu'ils ont en fait créé des réseaux sociaux autour d'eux avec des pirates qui se font concurrence dans les classements. Vous pourriez dire que cela a été gamifié et que les pirates se disputent la première place sur les cinq ou les dix premières listes de pirates qui ont trouvé des vulnérabilités sur le site Web ou le programme en question. Dans certains cas, il existe encore plus de récompenses spéciales qui ne sont accordées qu'aux meilleurs pirates d'un programme particulier. Par exemple, Tesla a une pièce de défi et c'est presque comme une médaille et il n'y a que 20 de ces pièces de défi Tesla dans le monde et elles ne sont destinées qu'aux meilleurs pirates qui aident Tesla. En fait, l'été dernier, j'ai vu Elon Musk en personne assister à la plus grande convention de hackers au monde, un événement appelé DEF CON, qui a lieu à Las Vegas chaque année. Et Elon Musk est venu là-bas avec son équipe et avec ses chefs d'ingénierie pour Tesla et SpaceX afin de parler à ces hackers talentueux qui ont pu trouver des vulnérabilités dans le produit de Tesla. Bien sûr, ce n'est peut-être pas une surprise qu'une entreprise innovante comme Tesla ou que des géants de la Silicon Valley comme Facebook et Microsoft travaillent avec des hackers. Mais au cours des deux dernières années, des organisations comme le Pentagone, le Département de la Défense des États-Unis ont également lancé leur programme Hack the Pentagon. Et ce programme de primes aux bogues a vraiment montré une grande initiative, d'excellents résultats. Depuis son lancement jusqu'à cette année, il y a eu tellement de vulnérabilités sur les sites Web du Pentagone qui ont été découvertes via ce programme. Cela signifie donc que les criminels, les espions, les méchants qui trouvent la vulnérabilité, ils ne vous diront pas ce qu'ils ont découvert. Et en créant ces programmes, nous permettons effectivement à ce système immunitaire. Nous donnons effectivement à ces pirates amicaux une voie, une voie légale légitime pour signaler leurs découvertes et nous aider à améliorer notre sécurité.
Et je suis très passionné et plein d'espoir quant à la poursuite de l'adoption de ces programmes de primes de bogues. Et je pense que c'est quelque chose que chaque chef d'entreprise doit se demander, avons-nous une telle opportunité pour les pirates informatiques de nous faire part de leurs découvertes ?
Elisabeth : J'ai quelques questions. Y a-t-il des types particuliers de bugs que ces types de programmes de primes sont les mieux adaptés pour rechercher ? Et deuxièmement, comment les chefs d'entreprise qui ne dirigent pas Tesla ou Facebook sont-ils des entreprises monumentales et bien dotées en ressources ? Comment ont-ils eu accès à ce genre de programme ?
Cool: Alors que ce sont de grandes questions. Je suis très heureux de parler des primes de bogues aussi longtemps que vous le souhaitez, car cela a en fait été le cœur de l'étude, le travail de recherche que j'ai effectué au Cyber Research Center de l'Université de Tel Aviv au cours des deux dernières années. . Et l'une des choses que nous avons découvertes est que ces programmes ont beaucoup de valeur lorsque le produit qui est testé ou la plate-forme qui est examinée est déjà accessible au public. Donc, si vous avez un site Web, par exemple, si vous êtes United Airlines et que les gens achètent des billets d'avion sur votre site Web, vous avez déjà un produit très public qui vit sur le Web. Et lorsque vous avez un produit comme celui-là, il est vraiment utile que tous ces pirates identifient les vulnérabilités. Dans le cas de United Airlines, soit dit en passant, ils ne versent pas d'argent. Ils paient des miles aériens. Et les gens ont gagné des millions de miles en trouvant des vulnérabilités sur le site Web de United Airlines. Dans un autre cas, lorsqu'il s'agit d'applications ou de systèmes Web ou même, comme je l'ai mentionné plus tôt, avec des voitures, avec des systèmes embarqués Tesla, lorsqu'il y a un produit destiné aux consommateurs qui contient beaucoup de technologie ou lorsque ce produit est sur le Web ou c'est une application mobile, c'est le bon moment pour demander l'aide de ces pirates sympathiques via le format des programmes de primes de bogues. Maintenant, vous avez demandé comment les petites organisations peuvent profiter de cet avantage ? Il existe une variété de façons. Il est important de comprendre qu'il existe aujourd'hui des plates-formes existantes qui assurent la médiation de cette relation avec ces pirates. J'ai mentionné que c'est presque comme si les réseaux sociaux avaient été construits autour de cela. Les deux principales plateformes s'appellent HackerOne et Bugcrowd.
Il existe plusieurs autres sociétés, mais ce sont les deux plus grandes plates-formes et elles assurent en fait la médiation de nombreux programmes de primes de bogues et elles ont plus de 100 000 pirates informatiques sympathiques qui s'enregistrent et utilisent ces plates-formes. C'est donc l'accès à beaucoup de pirates. Ce serait donc l'endroit numéro un que je recommanderais de regarder. Deuxièmement, il est important de comprendre que même une petite organisation peut avoir une certaine forme d'engagement ou de débouché pour travailler avec des pirates informatiques amicaux.
D'une part, il existe en fait une norme internationale pour la divulgation coordonnée des vulnérabilités, et c'est la norme internationale pour la divulgation coordonnée des vulnérabilités CVD. Et je peux rechercher le numéro de ce standard afin de pouvoir le partager avec vos auditeurs.
Maintenant, à part cela, il existe un autre projet qui s'appelle security.txt. Et ce que le projet security.txt dit essentiellement, il dit que si vous avez un site Web ou une technologie destinée aux consommateurs, ce que vous voulez faire, c'est vous assurer que quelque part sur votre site Web il y a un fichier qui s'appelle security.txt et dispose en fait des informations sur les personnes à contacter si elles découvrent une faille de sécurité sur votre site. Vous seriez étonné de voir combien de fois le simple fait d'avoir les bonnes informations de contact permet à un hacker amical de vous contacter et de dire : 'Hé, j'ai trouvé un problème sur votre site, j'ai trouvé un bogue dans votre code. Vous voudrez peut-être le savoir.
Elisabeth : À droite. Cela a du sens. Je souhaite donc passer un peu à l'examen des menaces de cybersécurité qui ne concernent pas uniquement les ordinateurs ou les réseaux. Et je pense que, vous savez, beaucoup de nos auditeurs sont conscients que la menace ne fait que croître avec l'iot et la prolifération des appareils connectés. Parlez-en et de ce que la communauté des hackers fait et pourrait faire pour fournir un meilleur soutien et aider les chefs d'entreprise.
Cool: Absolument. Avant de faire cela, je veux juste mentionner que la norme internationale dont j'ai parlé plus tôt est ISO 29147. Il s'agit donc de la norme internationale numéro 29 147, qui est en fait une norme internationale pour la divulgation coordonnée des vulnérabilités dont toute organisation peut s'inspirer, s'adapter et appliquer pour leur entreprise. Donc, je voulais juste vous donner des informations à ce sujet. Maintenant, en ce qui concerne une question, je pense que vous avez vraiment tapé dans le mille. Il ne s'agit plus vraiment de systèmes d'information ou, vous savez, de nos téléphones ou de nos ordinateurs.
Il y a vraiment beaucoup de nouvelles technologies connectées auxquelles nous confions notre vie tous les jours, qu'il s'agisse de serrures domestiques connectées et de systèmes de surveillance comme les caméras Web ou, vous savez, les choses sur lesquelles nous comptons pour obtenir notre voiture à temps, la navigation les outils sur lesquels nous comptons, les éléments sur lesquels reposent les avions, les technologies médicales. Et c'est une excellente raison, en fait, pour laquelle nous parlons maintenant dans notre industrie de cybersécurité et non de sécurité de l'information, car il ne s'agit plus de protéger des secrets ou nos mots de passe ou numéros de carte de crédit. Il s'agit vraiment de protéger tous ces systèmes cyber-physiques connectés. Maintenant, en ce qui concerne ces appareils iot, l'Internet des objets. C'est là que je pense que beaucoup de gens, qu'ils soient chefs d'entreprise ou, vous savez, des particuliers, ne réalisent vraiment pas que nous devons être le directeur de l'information de notre propre maison, car dans la maison de chaque famille de nos jours, il y a en fait plus d'une douzaine d'appareils, généralement, peut-être même plus. Et vous avez des consoles de divertissement, des DVD, des caméras Web, des gadgets, des tablettes et des appareils personnels, bien sûr, des téléphones et des ordinateurs. Et pour tous ces appareils, il n'y a vraiment aucun responsable de la sécurité de l'information ou responsable de l'information qui va les entretenir pour nous. Donc, en tant qu'individus, en tant que consommateurs, il est vraiment de votre responsabilité de vous assurer que ces appareils disposent d'environnements de système d'exploitation mis à jour et que vous n'avez pas de nom d'utilisateur et de mots de passe par défaut. Ce sont des choses que nous devons faire et personne ne le fait pour nous.
Et c'est là que beaucoup de nouveaux types de menaces se glissent, parce que beaucoup de gens vous diront : 'Hé, eh bien, je m'en fiche si quelqu'un pirate ma caméra de sécurité que j'ai dans mon jardin parce que je ne 'n'ai rien à cacher.' Mais ce que les gens ne réalisent pas, c'est que les criminels apprennent à utiliser tous ces actifs numériques comme des pions dans leurs propres armées numériques. Et au cours des dernières années, nous avons assisté à des attaques massives où des criminels ont en fait pris le contrôle de centaines et de milliers de ces types d'appareils connectés, qu'il s'agisse de webcams ou d'enregistreurs vidéo numériques, parfois même de photocopieurs de bureau comme une machine Xerox. Et tous ces appareils peuvent être utilisés par des criminels pour lancer de nouvelles cyberattaques. Donc, quand il s'agit de ces appareils, c'est vraiment à chacun d'entre nous d'assumer aussi la responsabilité. Tout d'abord, protégez cet appareil, que ce soit en mettant à jour le système d'exploitation, en remplaçant le mot de passe par défaut. Soit dit en passant, l'État de Californie est une nouvelle loi en place, qui sera appliquée en janvier 2020. Que si vous vendez ou commercialisez réellement un appareil Internet des objets dans l'État de Californie, vous devez vous assurer que il n'y aura pas de combinaison de nom d'utilisateur et de mot de passe par défaut. Vous ne pouvez donc pas avoir d'appareils qui ont le mot de passe de, vous savez, un, deux, trois, quatre ou quelque chose comme ça, comme nous l'avons vu au cours des deux dernières années. C'est donc quelque chose qui change dans l'État de Californie. Espérons que d'autres États suivront. Mais cela nous ramène à la responsabilité personnelle que nous avons en tant que consommateurs. Et nous avons également une responsabilité et potentiellement une source de levier en tant que propriétaires d'entreprise. Lorsque nous achetons de la technologie, lorsque nous acquérons de la technologie auprès d'un fournisseur, d'un fournisseur qui nous la vend, nous pouvons en fait dire, hé, quels sont vos protocoles de sécurité ? Quelle est votre méthode de mise à jour du système d'exploitation ou du firmware de cet appareil ? Comment pouvez-vous vérifier qu'il n'y aura pas que ce simple mot de passe de type un, deux, trois, quatre ? Comment puis-je changer mes mots de passe ? Et je pense qu'à mesure que de plus en plus de personnes exigeront mieux des fournisseurs qui créent ces technologies et vendent ces produits, nous aurons en fait un écosystème plus sécurisé.
Elisabeth : Ce sont donc vraiment, je suppose, des approches ascendantes. La responsabilité incombe donc à la personne qui achète l'appareil, à cet appareil connecté ou à l'équipe de sécurité de l'entreprise. Vous avez mentionné l'État de Californie, mais en général, est-ce quelque chose dont nous devrions supposer qu'il ne sera pas aidé par le soutien gouvernemental ou la réglementation gouvernementale?
Cool: En fait, les gouvernements font beaucoup plus qu'avant. Particulièrement aux États-Unis, nous allons voir plus d'approches réglementaires qui seront un peu plus agressives dans leurs exigences de la part des entreprises et des chefs d'entreprise d'être mieux informés sur la cybersécurité, d'avoir un membre du conseil d'administration d'une organisation qui possède des connaissances et des antécédents en matière de cybersécurité. On a déjà vu des cas où, par exemple, dans l'affaire portée devant, je pense la FTC contre Uber. Comme vous l'avez peut-être entendu, Uber a subi plusieurs violations de données au cours des deux dernières années. Et comme cette affaire a été portée devant la Federal Trade Commission, la FTC a en fait examiné de très près le niveau des contrôles de sécurité appliqués par Uber. Et ils s'emploient en fait avec des personnes bien informées, qui travaillent pour ces régulateurs de la consommation qui vont poser des questions de niveau technique vraiment granulaires, et ils vont s'attendre à ce que les entreprises aient des contrôles de sécurité raisonnables. Maintenant, que signifie un contrôle de sécurité raisonnable ?
Cela signifie des choses qui sont des pratiques exemplaires, des choses qui sont considérées comme quelque chose que n'importe quelle autre entreprise de cette taille ou de ce type de budget ferait. Et un type de contrôle raisonnable que les régulateurs commencent à rechercher est en fait une entreprise a-t-elle des moyens de communication avec ces pirates informatiques amicaux qui sont là-bas et essaient de signaler des vulnérabilités ? Alors, l'entreprise a-t-elle un programme de primes aux bogues ? Disposent-ils d'une politique claire de divulgation de la sécurité ou des vulnérabilités ? Font-ils savoir aux gens qu'il existe un moyen de leur signaler les vulnérabilités ? Et c'est quelque chose dont nous voyons de plus en plus de régulateurs commencer à parler. J'ai beaucoup de chance en ce sens car j'ai une sœur qui est avocate et qui se spécialise maintenant dans la politique de cybersécurité aux États-Unis. Et avec elle, j'ai beaucoup appris sur la façon dont les régulateurs américains commencent à exiger beaucoup plus en matière de contrôles de sécurité de la part des entreprises américaines.
Elisabeth : C'est super. Parlons donc un peu plus des autres types de menaces. Alors qu'en est-il des rançongiciels ? Nous avons parlé dans ce podcast des rançongiciels. Voyez-vous cela comme une menace réelle et croissante?
Cool: Il est donc important de comprendre à propos des rançongiciels qu'ils étaient super à la mode en 2017 et 2018. Mais les criminels évoluent toujours et ils ne vont pas faire la même chose. Donc, ce qui était, vous savez, très précieux et rentable pour les criminels à lancer au cours des deux dernières années n'est plus aussi rentable parce que de plus en plus d'organisations ont compris et ne paieront pas la rançon. Ils vont revenir à une sauvegarde ou ils vont trouver un autre moyen de contourner ce cryptage de ransomware. Ce qui s'est passé, c'est qu'en fait, les criminels ont trouvé une approche beaucoup plus lucrative. Et c'est ce qu'on appelle le crypto jacking, également connu parfois sous le nom de crypto mining. Et ce que fait le crypto jacking, c'est essentiellement une fois que le criminel a la capacité de lancer n'importe quel type de code malveillant sur votre système, il peut s'agir de votre ordinateur personnel, de vos serveurs Web ou de vos serveurs cloud. Ce qu'ils vont faire, c'est qu'au lieu de crypter les données et de demander une rançon, ils vont en fait exécuter un programme silencieux qui va extraire des crypto-monnaies. Une arnaque très populaire. Votre ordinateur qui utilise vous utilisez exactement votre ordinateur, en utilisant votre puissance de calcul. Ainsi, pour certaines entreprises de communication, lorsque cela se produit sur leurs serveurs cloud, lorsque cela se produit sur leur infrastructure AWS, par exemple, cela pourrait en fait accumuler des dizaines de milliers de dollars en coûts de puissance de calcul. Et les criminels repartent avec des millions de dollars en crypto-monnaies. Et la crypto-monnaie très populaire qui a été extraite de cette manière s'appelle Monero. Et il y a en fait eu tellement de campagnes qui créent des logiciels malveillants très évasifs qui vont exploiter ce Monero. En fait, même les réseaux Wi-Fi des succursales Starbucks à travers l'Argentine contenaient ce logiciel malveillant de minage Monero. Ainsi, lorsque les gens se connectaient au Wi-Fi, ils ouvraient leur ordinateur portable pour se connecter au Wi-Fi Starbucks.
En fait, ce logiciel de minage fonctionnait sur leurs ordinateurs pendant cinq ou 10 secondes à la fois, générant beaucoup de revenus sous forme de crypto-monnaie pour les criminels. Et c'est pourquoi je dis, Elizabeth, qu'il est vraiment important d'apprendre de ce que font les pirates. Il est vraiment important de regarder ce que font les criminels parce qu'ils évoluent constamment. Et c'est là que je passe beaucoup de temps à étudier et à regarder ces nouvelles techniques, ces nouvelles tendances, la façon dont les criminels améliorent leur jeu parce qu'ils proposent vraiment dans les tout nouveaux modèles commerciaux pour prendre nos actifs numériques et les transformer en argent très rapidement. Et ils font quelque chose de nouveau tout le temps.
Elisabeth : Alors, comment sauriez-vous si votre réseau est ce que vous recherchez pour déterminer si votre réseau est ou non vulnérable à ce type de crypto jacking ou de crypto mining ? Je veux dire, ça a l'air terrible.
Cool: Ouais. Ouais. C'est ça. C'est terrible. C'est une excellente question. Ainsi, vous remarquerez que vous avez des logiciels malveillants de crypto jacking sur vos systèmes, bien sûr, si vous avez une facture Amazon Web Services très élevée à la fin du mois, qui est beaucoup plus élevée que ce à quoi vous vous attendiez, ou si vous Si vous regardez votre consommation d'énergie, vous constatez que tout d'un coup vos serveurs tournent à des vitesses CPU beaucoup plus élevées, vos processeurs travaillent en fait beaucoup plus dur. Vous pouvez également remarquer que votre machine chauffe. Le fonctionnement devient plus chaud parce qu'un processeur travaille plus fort. Et vous pouvez le remarquer même en tant qu'individu, si vous êtes, vous savez, votre connexion semble être extrêmement lente. Vous ouvrez votre navigateur Web pour des sites spécifiques et il leur faut beaucoup de temps pour se charger. Cela peut signifier que vous pourriez avoir ce type de logiciel malveillant de cryptomining ou de cryptojacking sur votre système. Il est important de noter que la plupart du temps, ces types d'attaques ciblent désormais ces instances cloud. Donc, ils ne s'occupent plus des ordinateurs individuels des gens simplement parce qu'ils n'ont pas nécessairement la puissance de calcul qu'ils souhaitent. Les joueurs, cependant, les joueurs qui ont des ordinateurs puissants, généralement avec un GPU comme avec de puissantes unités de traitement graphique, pourraient être plus sensibles à ces types de logiciels malveillants de crypto mining.
Elisabeth : AWS et d'autres fournisseurs de cloud ne vont-ils pas rechercher cela plutôt que de simplement facturer une facture élevée à leurs clients ? Je pense qu'ils en feraient quelques-uns, vous savez, ils pourraient certainement demander à une IA d'examiner les pics ou les comportements inhabituels d'utilisation, je pense.
Cool: Donc c'est très c'est très... Je suis d'accord avec vous qu'il serait intuitif pour nous de s'attendre à ce que les fournisseurs de plates-formes cloud fassent plus et surveillent ces menaces. Mais la réalité est que dans de nombreux cas, la façon dont les criminels accèdent aux systèmes des gens est parce qu'ils ont une instance cloud facilement non sécurisée, facilement accessible et mal configurée. Ainsi, très souvent, la société de cloud computing dira que c'est votre problème parce que vous avez laissé la porte grande ouverte. Vous n'avez pas configuré vos serveurs cloud pour qu'ils soient sécurisés. Vous n'avez pas mis de mot de passe ou vous utilisez le mot de passe par défaut ou vous en avez utilisé un très connu. Vous aviez des vulnérabilités très connues sur vos serveurs cloud. Donc ce n'est vraiment pas leur problème. C'est le tien. Et cela, je pense, nous ramène à un problème majeur que beaucoup de gens ont maintenant avec la consommation de technologie. Nous ne comprenons vraiment pas à quel point la responsabilité incombe encore aux consommateurs. Et il y a beaucoup d'attentes pour le fournisseur de technologie, qu'il s'agisse d'un service cloud, d'un appareil Internet des objets ou d'un système d'exploitation. Nous nous attendons beaucoup à ce que l'entreprise qui nous vend un produit en fasse beaucoup plus en matière de sécurité.
Mais la réalité est que, dans de nombreux cas, leur modèle commercial est basé sur le fait que le client assume davantage cette responsabilité sur ses épaules. Et on ne s'en rend pas forcément compte. Maintenant, je ne veux pas simplement, vous savez, nommer et blâmer les entreprises. Il existe certainement des fournisseurs de cloud qui en font plus. Je sais qu'Amazon et AWS ont une grande équipe dédiée à la recherche des menaces de sécurité sur leur plate-forme en ce moment. Il se trouve que c'est celui qui est le plus populaire auprès des criminels, car c'est la plate-forme cloud la plus puissante. Donc, nous devons vraiment continuer tout le temps. Et ce jeu du chat et de la souris et la minute où les gens d'Amazon trouveront un moyen d'empêcher ces logiciels malveillants de crypto jacking des campagnes, de propager un nouveau type d'attaque apparaîtront.
Elisabeth : C'est donc un bon moment pour nous de passer à ma prochaine et dernière question, quelle est la prochaine étape ? Et je ne sais pas qui est le chat et qui est la souris ? Mais où va le chat ensuite ? Et où les dirigeants concernés par la cybersécurité doivent-ils penser à l'avenir de la menace ?
Cool: On ne sait vraiment pas qui est le chat et qui est la souris ici. Vous avez absolument raison. Mais quand il s'agit de cela, ce à quoi je pense quand je pense à ce qui va suivre, je pense aux gens et je pense au talent humain. Je pense aux personnes qui seront ces professionnels de la sécurité, ces hackers sympathiques, ces chefs d'entreprise du futur. Et comment pouvons-nous faire en sorte que ces personnes soient aussi bien informées, aussi innovantes, aussi créatives que certaines des mauvaises personnes ? Parce que je suppose que tant que les gens écriront du code, nous aurons des vulnérabilités, tant que les gens utiliseront la technologie. Il y aura des individus et des organisations malveillants qui voudront utiliser cette technologie à des fins malveillantes ou à des fins de manipulation. Et nous allons avoir besoin de plus de personnes que jamais auparavant. C'est donc mon point de vue que la communauté amicale des hackers peut aider. Mais il est également très important d'investir dans la cybersécurité, l'éducation et la sensibilisation, c'est pourquoi je me présente. Outre Tel-Aviv, c'est le plus grand événement de communauté de hackers et de recherche en sécurité d'Israël. C'est pourquoi, à l'Université de Tel-Aviv, nous organisons ce qu'on appelle la Cyber Week de Tel-Aviv, qui fournit des connaissances et des informations à plus de 8 000 personnes chaque été. C'est pourquoi chaque fois que je voyage, chaque fois que j'ai du temps libre, je passe mon temps à assister à des événements de hackers et qu'il s'agisse d'une rencontre communautaire ou d'une conférence technologique, car nous devons vraiment prêter attention au type de recherche et de connaissances qui sont actuellement générés par des pirates informatiques sympathiques afin que nous puissions réellement faire sortir plus de gens armés d'informations et de connaissances. Ils doivent développer un avenir meilleur et plus sûr pour nous tous. Un domaine auquel beaucoup de gens pensent est le domaine de l'IA.
Et c'est quelque chose qui est, vous savez, vraiment crucial pour comprendre que nous pourrions en fait être dans une course aux armements en ce qui concerne les technologies d'IA et en particulier l'IA pour la cybersécurité, à la fois du côté offensif et défensif. Mais alors que la course aux armements devient réellement une réalité, c'est dans la course pour recruter les talents, les personnes qui peuvent réellement créer que la prochaine génération d'un système. Et c'est un domaine où je pense que les États-Unis ont actuellement un avantage. Et si vous souhaitez conserver cet avantage, vous devez continuer à investir dans ce type de savoir-faire et ce type de talent et à développer ces hackers extérieurs qui peuvent en fait être les futurs défenseurs de demain.
Elisabeth : Alors, Keren, où les gens peuvent-ils obtenir plus d'informations s'ils veulent en savoir plus sur certaines des choses dont vous avez parlé aujourd'hui ?
Cool: Je suis donc très facile à trouver en ligne. Je m'appelle Keren Elazari. Mais dans le monde des hackers, je suis connu sous le nom de Keren E. Tous les E s'écrivent avec trois. Vous pouvez donc soit aller sur mon site Web, K3R3N3.com. Vous pouvez me trouver sur LinkedIn. Vous pouvez regarder ma conférence TED sur Ted.com : 'Les pirates sont le système immunitaire d'Internet'. Il y a une variété de contenus que j'ai mis sur YouTube. Et vous êtes les bienvenus pour participer à la Cyber Week de Tel Aviv. Et BSides Tel Aviv, BSidestlv.com est le site que vous voulez visiter, si vous voulez venir découvrir la communauté de hackers que nous avons ici dans la belle ville ensoleillée de Tel Aviv.
Elisabeth : Merveilleux. Eh bien, merci beaucoup de nous avoir rejoint ici au Business Lab.
Cool: Merci, Élisabeth.
Elisabeth : C'est tout pour cet épisode de Business Lab. Je suis votre animatrice, Elizabeth Bramson-Boudreau. Je suis PDG et éditeur de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology. Et vous pouvez nous trouver en version imprimée sur le Web, lors de dizaines d'événements en direct chaque année, et maintenant sous forme audio. Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com. Cette émission est disponible partout où vous obtenez vos podcasts.
Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous évaluer sur Apple Podcasts. Business Lab est une production de MIT Technology Review.
Notre rédactrice en chef est Mindy Blodgett. Cet épisode a été produit par Collective Next avec l'aide éditoriale d'Emily Townsend. Un merci spécial à notre invité, Keren Elazari.
Merci pour l'écoute. Nous serons bientôt de retour avec notre prochain épisode.