D’un côté il y a ceux qui travaillent dans cybersécurité (white hat). De l’autre, ceux qui ont des motivations malveillantes (black hat). Entre les deux se trouvent un grand nombre d’expérimentés qui se cherchent encore. Partagés entre la voie du Jedi et la voie des Sith. Les grey hat. Comme l’a superbement décrit Keren Elazari pendant sa conférence sur l’USI Events, ils sont le système immunitaire d’Internet. D’une menace vient une solution. Par des pratiques illégales, ils pointent du doigt les failles de sécurité des systèmes informatiques.
Plus que jamais, nous, citoyens, mais aussi les entreprises, sommes concernés par les dangers liés à la cybersécurité. Voitures, cafetière, caméras, smartphones, machines à laver … Certains de ces objets qui ne sont pas encore connectés le seront demain. Et le passé nous a prouvé qu’aucune entreprise n’est à l’abri. Sony, Disney, LinkedIn, Dropbox … Même Instagram est utilisé comme plateforme d’échange d’information. In fine, des milliards de logins ont déjà été récupérés. Et combien d’accès à votre moyen de paiement ? Pour ce qui est de vos logins, vous pouvez toujours vérifier sur ce site : haveibeenpwned.com.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
L’Homme est lui aussi déjà connecté. Avec un pacemaker par exemple. Ou encore avec une pompe à insuline. Demain, ce sera avec des implants pour l’interface cerveau-machine. Une fois hackéees, ces trois idées peuvent devenir létales pour un hacker mal intentionné. Pour l’instant – et heureusement – la réalité est toute autre.
En 2011, un employé de McAfee et très connu pour ses pratiques de grey hat, Barnaby Jack a démontré qu’il était en mesure de lancer une attaque pour prendre le contrôle de pompes à insuline autour de lui. De cette manière, il lui était possible de modifier le dosage et ainsi délivrer une quantité fatale d’insuline. Cette démonstration a permis au fabricant Medtronic de mettre à jour ses produits afin de parer ce type d’intrusion, mais de nouvelles voient le jour. En 2016, le fabricant Johnson & Johnson avait alerté ses clients sur la vulnérabilité de ses pompes à insuline.
Il faut parfois que les hackers aient recours à des pratiques douteuses pour forcer les entreprises à revoir la sécurité de leurs produits ou de leurs infrastructures. Cela crée un climat hostile pour des sociétés qui ne comprennent pas le but bienveillant qu’il y a derrière ces intrusions. D’autres l’ont bien compris et capitalisent sur ces approches en créant des programmes de rémunération pour les personnes mettant en exergue des failles dans leur sécurité.
Samsung, Facebook, Google, LinkedIn, Microsoft … nombreux sont les tech giants à avoir mis en place ce genre de programmes. Ils leur permettent de mettre leurs systèmes à l’épreuve des hackers afin de corriger par la suite des failles qui peuvent mettre en péril les données de millions d’utilisateurs. La firme de Mountain View a notamment reversé 9 millions de dollars depuis son lancement en 2010. Seulement sur l’année 2016, ce sont près de 3 millions de dollars qui ont été reversés aux ‘hackers’. Parfois, ces programmes ne se passent pas comme prévu. En 2013, un jeune palestinien avait fini par déjouer les sécurités pour aller écrire directement sur le mur de Mark Zuckerberg et se faire entendre après plusieurs refus de la part de Facebook.
Dans un monde hyper-connecté, tout point de contact numérique sera une source de vulnérabilité. Que ce soit un pacemaker ou un grille-pain. Voilà pourquoi toute entreprise devrait embaucher des hackers. Il faut les intégrer et non les ‘chasser’. S’il ne s’agit pas nécessairement de les lier à un contrat de travail, le système de récompenses fonctionne. Face à des virus plus puissants, un renforcement du système immunitaire numérique est important. De ce que demain nous réserve, nous aurons plus que jamais besoin d’eux, pour lutter contre eux.