3 choses importantes à savoir sur la recherche de faille de sécurité
La digitalisation des services a pour conséquence immédiate la multiplication des besoins que nous avions de l’utilisation des services informatiques.
Aujourd’hui nous utilisons de plus en plus d’appareils informatique et de logiciels conçus pour subvenir à la trop grande demande. Cependant cette conception informatique met aussi en évidence certaines vulnérabilités. On met en évidence entre autres la question de failles de sécurité inhérentes même à la conception du produit ou du logiciel.
De nos jours, les failles de sécurité se positionnent comme étant l’une des problématiques les plus importantes dans le milieu de la Tech. Car les conséquences de leur négligence se font sentir presque que tous les jours. Dans l’annuaire du MITRE, un organisme à but non lucratif, il a été indexé près de 1020 failles de sécurité. Un chiffre impressionnant pour une seule année. En 2020, c’était 18 000 failles de sécurité et 16 000 failles pour 2021. Bien évidemment ces chiffres se limitent seulement qu’à ce que l’organisme a pu observer. Sur le marché noir on peut même envisager la disponibilité de milliers de vulnérabilités non découverte si jusqu’à présent toujours en commercialisation. C’est pourquoi il est important de savoir ces 3 choses :
1- La recherche de faille de sécurité est un business
Avec le développement de la cybersécurité et le besoin de toujours améliorer sa sécurité informatique, le consommateur devient de plus en plus exigeant. Sans oublier les dispositions législatives qui commencent à mettre de plus en plus de pression sur les constructeurs. Dans ce contexte, ces derniers améliorent leur recherche de vulnérabilité. Ce qui a eu pour conséquence de créer une chaîne professionnelle impliquant plusieurs compétences et plusieurs profils. Dans le secteur privé il n’est pas rare devoir proliférer les entreprises de cybersécurité éditeur d’antivirus, les hackers éthiques… Dans le secteur public ce sont les services de renseignement et l’armée qui s’investissent dans ce secteur. L’objectif commun et de découvrir en premier les failles de sécurité. Essentiellement pour ce qui concerne les services les plus populaires pour que le bénéfice en soit beaucoup plus grand. Lorsqu’une qu’une faille de sécurité et découverte par une entreprise qui n’est pas l’éditrice du produit concerné, elle peut soit :
– La revendre au plus offrant ;
– La communiquer au constructeur du produit en espérant obtenir une récompense ;
– Ou la rendre publique pour que les utilisateurs puissent se protéger par leurs propres moyens.
Tout ce contexte a favorisé la mise en place de ce qui s’appelle commune « bugs Bounty ». Des programmes de chasses à la vulnérabilité récompensées. Beaucoup de grandes entreprises organisent ce genre de programme plusieurs fois dans l’année. Les primes évoluent selon la nature de la vulnérabilité.
2 – S’isoler est un comportement dangereux
On pense automatiquement à certaines entreprises comme Apple qui refuse de rémunérer les hackers qui les aident à trouver les failles de sécurité. Cependant cette situation mais en aucune manière avantageuse pour l’entreprise et appelle en à payer les frais après que l’un de ses produits a été piraté par les forces de l’ordre dans le but d’obtenir des données qu’il contenait. Un exploit qui est dû en partie par l’exploitation de failles de sécurité découverte à l’insu du constructeur par des chercheurs qui ne lui ont pas communiqué. Si après cette affaire Apple a décidé de mettre en place des programmes de Bugs Bounty, il n’en demeure pas moins que la situation a mis en évidence une réalité bien claire : les produits de Apple ne sont pas si efficacement sécurisé comme le fait croire sa propagande. Dorénavant les hackers et les spécialistes de la sécurité informatique le savent.
3 – Le problème peut souvent revenir des gens qui sont proches de vous
« Parfois l’ennemi se trouve être une firme occidentale. Google a souvent écorné l’image des plus grands avec sa politique drastique en termes de recherche et communication sur les failles de sécurité trouvées dans les produits d’éditeurs tiers. Lorsque ses équipes trouvent une faille, elles rédigent un rapport qui est transmis à la société concernée. L’entreprise a alors 10 jours pour réagir après quoi Google publie le rapport sur son site. En octobre 2016 Google à publier un rapport sur Windows, le système d’exploitation de Microsoft. Ce dernier détaille une faille critique permettant à un code malveillant d’obtenir des droits administrateurs sur le système hôte. », explique Arthur Sicard, Ingénieur Devops chez Orange Business.
« Certaines entreprises, collectifs ou équipes, n’hésitent donc plus à attaquer les plus grands du secteur en les mettant publiquement dans une position difficile pour s’assurer qu’ils effectuent l’action désirée « pour le bien commun » en alimentant des bases de données publiques. Un tel type de chantage risque de donner lieu à de nouveaux types d’attaque informatiques, via un vecteur social et informationnel puissant. », souligne le spécialiste.
Accédez maintenant à un nombre illimité de mot de passe :