La communauté de la cybersécurité doit cesser d'”armer” et de normaliser les cybercriminels, et accepter un rôle plus important pour le gouvernement et la réglementation, selon un chercheur chevronné Daniel Cuthbert a déclaré au public lors de la récente Chapeau noir Europe conférence.
Cuthbert, responsable mondial de la recherche sur la cybersécurité chez Banco Santander, a pris Flocon HalvarLa conférence de 2017 “Pourquoi nous ne construisons pas un Internet défendable” comme point de départ de son discours lors de la conférence, demandant si nous avions constaté des progrès depuis lors.
Il a dit qu’il avait vu comment “Mon industrie, mes amis et ce que nous faisons se sont éloignés de ce groupe central d’enfants curieux faisant des trucs sur Internet et sur le World Wide Web, à la façon dont des forces externes ont pris ce que nous étions faire et causer beaucoup de ravages. L’examen annuel du National Cyber Security Centre du Royaume-Uni avait noté que 63 incidents de ransomware avaient mérité une réunion Cobra, ce qui signifie que les plus hauts niveaux du gouvernement s’étaient impliqués.
“La technologie a tout d’un coup signifié que c’est un domaine pour les gens qui veulent pouvoir manipuler et faire de mauvaises choses, mais aussi un champ de bataille de valeurs”, a-t-il déclaré.
Beaucoup d’argent
Cependant, la communauté de la sécurité devait se pencher longuement sur elle-même et sur ses pratiques, a déclaré Cuthbert. Prenant l’exemple de Bugsil a déclaré: «Les insectes ont fait ma carrière. Je suis obsédé par les insectes, j’adore les insectes. J’aime la façon dont les bugs sont exploités. J’aime le fait qu’un simple bug puisse paralyser une nation.
Mais, a-t-il poursuivi, « Les bogues que nous trouvons maintenant ne sont plus seulement partagés entre amis. Ces bugs sont devenus beaucoup d’argent.
Un bogue iOS sans clic pourrait valoir plus d’un million de dollars : “Les gens veulent avoir accès aux bogues… parce qu’ils veulent avoir accès à des données à contrôler pour manipuler… notre industrie a le potentiel avec ce que nous faisons pour changer radicalement le résultat de la façon dont les gens pensent, comment les gens agissent et comment les pays fonctionnent.
Mais au contraire, la communauté était trop obsédée par zéro jour“Parce que ce sont les attaques boiteuses qui se font encore.” Le monde a été rançonné par des groupes de rançongiciels au cours des cinq dernières années. Même des groupes plus petits étaient capables de gagner des centaines de millions de dollars, a-t-il déclaré.
Cela a posé un dilemme pour une communauté de cybersécurité qui aime partager des informations sur les bogues et les techniques, a-t-il déclaré, car les criminels surveillaient, écoutaient et absorbaient également ces informations. “Nous armons les criminels à un rythme alarmant.”
Impact de ChatGPT
ChatGPT a également potentiellement facilité la vie des hameçonneurs, a ajouté Cuthbert : « Donc, l’un des plus grands inconvénients des hameçonneurs, ce qui est formidable du point de vue de la détection, est que l’anglais n’est peut-être pas leur langue maternelle. Ainsi, nous pouvons détecter des problèmes avec la langue. Mais ChatGPT a changé l’équation ici.
Il a noté que Bruce Schneier avait déclaré qu’il n’y avait aucune incitation pour les fabricants ou les entreprises à créer des produits de systèmes sécurisés. “Nous avons toujours pensé qu’une violation pouvait avoir un impact suffisant sur une entreprise pour changer ses habitudes”, a déclaré Cuthbert, mais il s’est avéré que cela n’avait pas été le cas, a-t-il déclaré. Cela devient une question de messages de relations publiques.
Cela signifie que le gouvernement et la législation avaient un rôle plus important à jouer. « La réalité est que depuis une vingtaine d’années, nous organisons tous des fêtes à la maison lorsque papa et maman sont absents. Et nous pensions que nous étions cool.
Cela signifiait: «Nous avons affiché des trucs dans tout le quartier et beaucoup de gens sont venus et quelqu’un a fait quelque chose dans le tiroir à chaussettes de ton père qui est vraiment dégoûtant. Et maman et papa sont rentrés à la maison maintenant, ils se sont dit: ‘Je suis désolé, comme si les règles devaient tomber maintenant.'”
Règlements et politiques
Alors que le “précédent” Daniel aurait détesté l’idée, “Nous avons besoin d’une forme de réglementation, de projets de loi et d’actes pour nettoyer notre loi. Parce que nous ne pouvons pas le faire nous-mêmes. Nous avons essayé. Nous avons demandé à nos fournisseurs de fabriquer des produits de manière sécurisée. Cela n’avait pas d’importance.
Alors que Cuthbert lui-même était accusé de manière controversée en vertu de la loi britannique sur l’utilisation abusive des ordinateurs en 2005, “je siège maintenant au cyberconseil du gouvernement sur la sécurité, ce qui est tout simplement intéressant.”
Il a décrit l’Agence américaine pour la cybersécurité et la sécurité des infrastructures comme étant « vraiment cool…. Ils sont en fait assez accessibles. Ce ne sont pas vos costumes gouvernementaux typiques… Ils essaient de réparer Internet.
RGPD existe depuis un certain temps, a-t-il déclaré, et “cela a finalement fait comprendre aux entreprises que vous devez comprendre ce que vous faites avec les données de cette personne… la réalité est que la sécurité a augmenté.”
Cela dit, la loi américaine sur le cloud était “discutable”, alors qu’en ce qui concerne l’actuel projet de loi britannique sur la sécurité en ligne, “je ne pense pas qu’ils aient parlé à quiconque ayant une bonne compréhension du cryptage et de la façon dont l’ajout de portes dérobées dans le cryptage pourrait être un mauvais chose.”
Bien qu’il y ait eu de mauvaises réglementations, “pour la meilleure partie, vous en avez de bonnes”. Celles-ci commençaient à se répercuter sur la vie normale, tandis que les agences gouvernementales et les forces de l’ordre étaient devenues plus intelligentes et plus ciblées en matière de criminalité. Dans le même temps, les fournisseurs étaient contraints de prendre des mesures, par exemple en adoptant des langages sécurisés en mémoire.
Pas de normalisation
Mais la communauté de la cybersécurité doit continuer à mettre les fournisseurs sur le qui-vive, a-t-il dit, tout en tenant compte de sa propre attitude envers les méchants, à la fois dans la façon dont elle diffuse les informations et dans la façon dont elle pense aux attaquants.
“Mon monde a été offensif pendant très longtemps dans l’espace sécuritaire. Mais la réalité est qu’il y a tellement d’argent à gagner maintenant. Nous armons les mauvaises personnes. Parce qu’on ne voit jamais le côté bleu des choses.
Et, a-t-il dit, « Puis-je simplement dire, pouvons-nous arrêter de donner à ces putains de criminels des logos et des mascottes stupides ?
Ils ne sont pas gentils… en les normalisant, on normalise la criminalité »