La sécurité IT est souvent assimilée à un jeu de saute-moutons : alors que les pirates cherchent constamment de nouvelles manières de pénétrer les réseaux, les solutions de sécurité doivent évoluer à l'unisson. A cet égard, il est donc important de regarder vers l'avenir, à savoir les nouvelles technologies et leurs impacts.
...

La sécurité IT est souvent assimilée à un jeu de saute-moutons : alors que les pirates cherchent constamment de nouvelles manières de pénétrer les réseaux, les solutions de sécurité doivent évoluer à l'unisson. A cet égard, il est donc important de regarder vers l'avenir, à savoir les nouvelles technologies et leurs impacts. Pour Rik Ferguson, vice-président de la recherche en sécurité chez Trend Micro, la 5G constitue le défi majeur pour l'avenir de la cybersécurité, comme il l'a déclaré lors de la conférence CloudSec de Londres. " Il s'agit d'une technologie transformationnelle, a-t-il expliqué. Celle-ci va ouvrir la voie à une toute nouvelle génération d'applications. " Les entreprises et les fournisseurs de télécoms attendent avec impatience cette technologie qui va offrir davantage de bande passante et une latence plus faible, sans parler des perspectives en termes de réseaux 'software defined' et de 'slicing'. De telles fonctions vont permettre l'émergence de drones et de voitures autonomes par exemple, Ferguson évoquant d'ailleurs un véritable boom des appareils connectés intelligents qui, chose importante, devront être tous sécurisés. Alors que de tels 'appareils' connectés en réseau sont aujourd'hui déjà difficiles à sécuriser, quid s'ils connaissent une croissance exponentielle ? " Il faudra imaginer comment rendre tous ces équipements visibles. Et comment les gérer, alors qu'ils n'auront sans doute pas été conçus pour être gérés. Or il sera impossible d'installer un logiciel supplémentaire sur tous ces appareils ", dixit Ferguson. Et de citer l'exemple de l'éclairage urbain : si une ville compte par exemple 100.000 pylônes lumineux, ce seront alors 100.000 adresses IP dont il faudra éviter qu'ils ne fassent partie d'un 'botnet' ainsi que 100.000 cartes SIM susceptibles d'être piratées. " Les réseaux deviendront très volatiles et 'software defined'. La sécurité devra pouvoir en tenir compte, explique-t-il encore. N'oubliez pas par ailleurs que vous avez affaire à un autre type d'utilisateurs. L'IoT est largement synonyme de communication 'machine-to-machine', ce qui signifie que le réseau doit pouvoir supporter des utilisateurs non humains. Par ailleurs, il est question de volumes gigantesques de données. Comment faire pour les stocker et comment les effacer ensuite de manière sécurisée ? " Un aspect qui semble moins inquiéter Trend Micro est celui des appareils espions. " Une TV intelligente dotée d'une Webcam n'est pas aussi fréquente qu'on le pense, précise Robert McArdle, chercheur en cybercriminalité chez Trend Micro. Les gens ne l'utilisent pas. Nous avons précisément toutes sortes d'applis, dont WhatsApp, pour éviter de devoir communiquer en face-à-face. Il n'y a donc pas vraiment de demande pour ce type d'interaction par le biais d'un grand écran. " Il s'interroge en outre sur le point de savoir ce que l'on pourrait faire avec les images prises par une telle caméra intelligente. " Pensez-vous que des pirates pourraient vous espionner sur base de cette vidéo ? Dans ce cas, vous réagissez comme un pirate, pas comme un criminel. Si quelqu'un passe des heures à visionner des images dont personne ne pourrait avoir honte, il convient d'abord de se demander de qui il peut s'agir. N'oubliez pas que ces caméras vulnérables ont en général été achetées sur l'Internet, de sorte que ces personnes peuvent venir de n'importe où. Il faudra donc d'abord trouver ces utilisateurs, puis leur envoyer un message d'intimidation dans leur langue sans se mettre soi-même en danger. Il s'agit d'un modèle commercial particulièrement boiteux. "McArdle ajoute qu'une fois infecté, ce type d'appareil peut facilement être utilisé dans une attaque DDoS. " Dans ce cas, on n'est confronté qu'à une seule victime, alors que la grande majorité des gens dont l'appareil a été piraté n'a pas la moindre idée d'avoir être espionné. " Sa conclusion ? " Vous n'avez rien de spécial. Très peu de gens sont suffisamment intéressants pour un pirate professionnel. L'IoT sera certes utilisé pour pénétrer un réseau et donc pirater des données d'entreprise. Une caméra à 20 $ n'est guère sécurisée et lorsque l'on travaille de chez soi, il suffit de protéger son ordinateur portable et non l'ensemble de son réseau. " Et d'évoquer une problématique de type 'bring your own device' inversée. " Au lieu d'intégrer toutes sortes d'appareils mobiles potentiellement infectés sur le réseau d'entreprise, on en arrive à un réseau d'entreprise qui s'ouvre aux environnements possiblement non sécurisés de télétravailleurs. Votre infrastructure doit s'y adapter. Si vous ne parvenez pas à sécuriser un utilisateur qui travaille depuis une conférence sur le piratage au départ d'un café Starbucks, c'est que votre modèle de sécurisation n'est pas bon. " Si McArdle se fend d'un long plaidoyer contre les risques d'abus d'images de caméras pour rançonner une personne, il n'en met pas moins en garde contre un autre type de piratage, à savoir les 'deepfakes'.L'idée sous-jacente est qu'un pirate réalise une vidéo de type 'deepfake' au départ d'images que le pirate trouve simplement sur les réseaux sociaux. C'est ainsi qu'un 'geek' quelque peu malveillant peut par exemple créer une vidéo porno ou encore coller la tête d'un politicien sur une personne errant en rue. Cette vidéo pourra ensuite être utilisée pour faire chanter la personne en question, sachant que ce type d'images, si elles sont crédibles, pourraient ruiner une carrière. Et une rançon pourrait être versée pour éviter que ladite vidéo ne soit jamais publiée en ligne. " Songez à Nancy Pelosi, la démocrate américaine dont une vidéo pirate avait été diffusée en ligne la montrant avec une bande son ralentie, faisant penser qu'elle était ivre ou sénile. Il ne s'agissait même pas d'une vidéo 'deepfake', mais ses conséquences ont été particulièrement dommageables, note Robert McArdle. Les gens ne vont pas vérifier à deux fois si la vidéo est vraie, de sorte qu'un politicien est tenté de verser la rançon dans un tel cas. Pour lui, le dommage est irréparable, que la vidéo soit vraie ou non. " McArdle estime encore que les rançongiciels 'deepfake' ciblent spécifiquement les adolescents, parce que ceux-ci se trouvent à un moment de leur vie où ils attachent beaucoup d'importance à leur image publique et qu'ils chargent beaucoup d'images d'eux-mêmes. Or comme ces évolutions se traduisent par une hausse du nombre de suicides parmi les jeunes et que le sentiment général sur ces pratiques est toujours plus grand, il est d'autant plus important de rester attentif lorsqu'une vidéo d'un camarade de classe est diffusée. Remarquons que McArdle évoque surtout les risques qui pourraient survenir dans le futur et semble faire peu de cas des risques d'ores et déjà existants. Or selon une enquête du cabinet néerlandais Deeptrace, les 'deepfakes' sont apparus depuis 2 ans environ déjà sur les forums publics et doublent en nombre d'année en année. L'enquête révèle également que ces 'deepfakes' sont à 96% du porno et que la principale victime n'est pas le politicien ou l'adolescent, mais bien la femme. Et il ne faudrait pas oublier l'intelligence artificielle. Dans le bras de fer entre experts en sécurité et pirates potentiels, l'IA devrait jouer un rôle, estiment Ferguson et McArdle. Ceux-ci évoquent notamment le 'thread modelling' qui vise à prévoir les menaces. " Chacun réfléchit de manière différente et lorsqu'un problème survient, différentes personnes vont donc rechercher différentes solutions. Cela vaut également pour l'IA ", estime Ferguson. Ainsi, un algorithme pourrait parfaitement tenter de pénétrer un système selon des techniques auxquelles l'on ne penserait pas forcément, mais qu'une autre IA pourrait très bien déceler. Par ailleurs, l'intelligence artificielle pourrait trouver des vulnérabilités auxquelles des humains n'auraient pas pensé. " Une fois que des pirates mettent en oeuvre l'IA, il est possible de rendre les attaques plus rapides et plus efficaces, remarque Ferguson. En effet, les attaques se feront à la vitesse de l'ordinateur, les tactiques pourront être adaptées à la vitesse de la machine et le code utilisé pourra également comprendre le contexte dans lequel les attaques évoluent. Dès lors, l'attaque pourra être adaptée en temps réel à l'évolution des circonstances. "