Le hacker éthique Inti De Ceukelaire nous parle des plus grandes menaces en terme de sécurité IT durant les 5 prochaines années, il livre ses conseils aux collaborateurs IT security en Belgique, il présente les risques d'être piraté et la démarche à suivre lorsque votre société n'a pas (encore!) été piratée.
Lorsqu'un belge-qui est capable de pirater Google, Yahoo, Facebook, PlayStation et même le compte Twitter du Président Trump-remporte le prix du Most Valuable Hacker à la Conférence HackerOne, c'est que c'est le bon moment pour une petite discussion sur la sécurité IT et ses menaces!
Copyright: HackerOne
Comment résumez-vous la situation de la sécurité des entreprises belges actuellement?
Beaucoup moins sombre qu’il y a cinq ans.
Comment expliquez-vous cela?
Ce n’est pas une situation où tout est blanc ou noir. Ces dernières années, nous avons progressé énormément. Je ne peux que l’applaudir. Sur le plan juridique, nous avons aussi fortement progressé : le RGPD force les entreprises à stocker les données personnelles en toute sécurité et le hacking éthique est finalement légal. Les grandes banques et chaînes de magasin belges coopèrent avec des hackers éthiques par le biais de l’ethical hacker platform belge Intigriti. Nous sommes sur la bonne voie, c’est certain, mais il reste encore beaucoup à faire. Le travail ne sera jamais complètement fini, bien entendu, mais nous progressons fortement et c’est ce qui compte.
Parlons de RGPD, cette nouvelle loi sur la protection de la vie privée, rend-elle les choses plus difficiles pour vous?
Non. Les entreprises veulent mieux protéger leurs données personnelles et font souvent appel à nous pour cela. Les données personnelles sur lesquelles nous pouvons tomber comme pirate nous les limitons au strict minimum. En outre, des accords évidents existent toujours entre les hackers éthiques et les entreprises sur ce qui est possible et ce qui ne l’est pas. C’est ainsi que les clients d’entreprises qui coopèrent avec des hackers éthiques n’ont rien à craindre.
Quels secteurs sont plus susceptibles de faire face à des problèmes de sécurité ?
Les problèmes de sécurité sont présents dans tous les secteurs. Les organismes financiers allouent un budget important aux tests de sécurité. Sur le plan des chiffres purs et simples, des secteurs qui sont moins recherchés et ciblés par les hackers comporteront justement plus de problèmes de sécurité. On parle ici de commerçants locaux ou de clubs de sport. Evidemment, l’impact est également moins important en cas de piratage.
Les entreprises et la sécurité
Avez-vous le sentiment que les entreprises peuvent estimer suffisamment aujourd’hui les conséquences d’un acte de piraterie sur leur entreprise ?
Je remarque que de très nombreuses entreprises se concentrent surtout sur leur réputation en cas de piratage. Souvent, elles oublient aussi que celui-ci peut être très coûteux : les pirates peuvent avoir supprimé des données ou les avoir rendues inutilisables et les amendes, en cas de négligence grave, peuvent augmenter fortement. J’ai vu des entreprises internationales payer cent euros pour une fuite qui aurait pu facilement leur coûter plusieurs millions.
Quels types de menaces sont les plus fréquentes?
Les pirates choisissent pratiquement toujours la voie la plus facile. Les vulnérabilités dans votre système sont souvent faciles à détecter, mais même si tout cela est étanche, les personnes sont souvent les maillons faibles. Le piratage des élections présidentielles américaines de 2016 a commencé par un courriel de phishing envoyé par des pirates russes qui a piégé un militant inattentif.
De qui vient la plus grande menace? Des cybercriminels belges ou étrangers?
Des étrangers, tout simplement parce qu’ils sont beaucoup plus nombreux. Dans de nombreux cas, les pirates ne s’adressent pas à des cibles spécifiques. Souvent, ils ne décident pas explicitement d’aller pirater des sites web belges, mais recherchent de manière très ciblée des applications vulnérables, dans lesquelles des applications belges se retrouvent accidentellement.
Quel est, selon vous, le pourcentage de chances qu’une entreprise soit/sera piratée dans notre pays ?
Partez simplement de l’hypothèse que chaque entreprise, pratiquement, a déjà au moins fait l’objet de tentatives. Chaque entreprise abrite des vulnérabilités, la question n’est pas de savoir si elle sera abusée ou non, la question est plutôt de savoir quand. C’est surtout l’impact d’un tel piratage qui est important : dans des entreprises bien protégées, il faut espérer que les pirates n’iront pas trop loin.
"Les étudiants IT qui obtiennent leur diplôme aujourd'hui ne sont pas suffisamment informés des problèmes de sécurité. Dans la plupart des cours, au plus quelques leçons sont consacrées à ce sujet."
Les grandes entreprises sont-elles encore à même de se protéger elles-mêmes ?
Personne n’est à l’abri des pirates. Je veux simplement croire qu’il existe des entreprises qui font vraiment de leur mieux pour attaquer de front les envahisseurs sans aide extérieure, mais elles ne pourront jamais être sûres à 100 %. Et même si elles l’étaient, elles utiliseront très probablement toujours des toolsets et des services qui peuvent parfaitement comporter des vulnérabilités.
Si vous comparez avec les start-ups, les PME et les entreprises vraiment grandes. Qui éprouve alors le plus de difficultés à se protéger contre des menaces extérieures?
La sécurité des logiciels présente d’énormes difficultés. Les informaticiens qui sortent aujourd’hui sont, à mon avis, insuffisamment éclairés sur les problèmes de sécurité. Dans la plupart des cas, on y consacre tout au plus quelques leçons. Celui qui veut vraiment être à la hauteur sur la manière dont il faut rendre quelque chose étanche, doit pratiquement s’en occuper chaque jour. Même alors, cela peut ne pas fonctionner : c’est ainsi que la semaine passée, j’ai découvert une fuite de protection sérieuse dans mon propre code. Heureusement, je l’ai découverte moi-même. L’erreur est humaine mais il faut consentir des efforts supplémentaires pour les détecter activement et les corriger.
les conseils
Quelles sont les 3 choses à propos desquelles on ne peut pas se tromper en tant qu’entreprise en terme de sécurité ?
Les données personnelles par-dessus tout. En tant que client, vous confiez vos données à une entreprise et vous attendez que celle-ci en fasse un usage sûr. Mais si une erreur a lieu, il faut alors une communication claire. L’équipe PR essaiera toujours de présenter les choses plus belles qu’elles ne sont. Opposez-vous à cela et soyez honnête. Enfin, chaque entreprise doit appliquer une sensibilisation suffisante et de bonnes pratiques auprès de ses propres travailleurs. Votre système peut être aussi étanche qu’il veut, je n’ai besoin que d’un travailleur inattentif pour entrer.
Quelle est, à votre avis, la plus grande menace sécuritaire pour les entreprises dans les cinq années à venir?
Cela est très difficile à prévoir étant donné que le paysage de la sécurité peut être retourné chaque jour. Prenez maintenant l’année dernière lorsque nous avons été confrontés brusquement à une épidémie de ransomware. Mais ce sont surtout les nouvelles technologies qui introduisent de nouvelles menaces : il suffit de penser au cloud et à l’internet of things, pour répandre des buzzwords.
Comment peut-on savoir si son entreprise / son site web a été piraté(e)?
Partez tout simplement de l’hypothèse que votre entreprise a été piratée. Posez-vous la question de savoir à combien se monterait le dommage et ce que vous pouvez faire pour réduire ce dommage ou pour mieux détecter les pirates, par exemple par une connexion supplémentaire.
Avez-vous un conseil pour les entreprises qui n’ont pas encore été piratées? Que doivent-elles faire ?
Ces entreprises n’existent pas, passons à la prochaine question.
Avez-vous un conseil pour les entreprises qui ont déjà été piratées ? Que doivent-elles faire?
Mettre leur protection en ordre. Et lancer un programme bug bounty pour attirer ainsi les hackers éthiques de manière à ce que nous puissions devancer les mauvaises personnes.
Avez-vous encore un conseil pour les personnes qui essaient, pour leur travail, de garder les codes aussi protégés que possible?
Faites examiner votre logiciel régulièrement par des externes. Souvent, des problèmes de sécurité sont évidents mais vous ne les voyez pas parce que vous êtes habitués à l’entreprise et au flux de travail.
À propos de vous
Pour les pirates animés par de mauvaises intentions, l’argent est généralement le mobile. Quel est le vôtre ?
Croyez-le ou non, mais l’argent est aussi l’un de mes mobiles. Avec le piratage éthique, il est possible de gagner beaucoup d’argent d’une manière légale étant donné que les grandes entreprises octroient des primes aux pirates qui mentionnent ces vulnérabilités de manière responsable. Naturellement, je trouve cela aussi très agréable.
Copyright: HackerOne
Vous êtes un pirate éthique mais vous travaillez aussi pour la VRT. Quelle part de votre temps consacrez-vous encore au piratage éthique pour les entreprises?
Actuellement, je pirate encore seulement sur des événements de piratage : chaque mois, nous sommes invités avec un groupe de pirates par des entreprises dans le monde afin de tester leurs logiciels. Le mois prochain, cela se passe à Buenos Aires. Je travaille surtout sur ces événements. En dehors de cela, je n’ai pas tellement de temps à consacrer au piratage.
Quelles techniques utilisez-vous pour pirater ? Sont-elles alors les mêmes que les techniques utilisées par les pirates animés de mauvaises intentions?
S’il devait y avoir un guide sur la manière dont on doit tout pirater, tous les logiciels pourraient être parfaitement sûrs. Il existe bien des techniques, mais très souvent une bonne partie de créativité vient s’y ajouter. C’est l’un de mes atouts, le volet technique. Chaque pirate est différent et a d’autres compétences, mais qu’il soit bon ou mauvais, chacun a finalement le même but : rentrer.
Pouvez-vous comme hacker éthique en Belgique être encore sanctionné si vous communiquez les fuites à l’entreprise piratée?
En théorie, c’est encore possible, notamment si l’entreprise en question n’a pas demandé explicitement de détecter des fuites ou si des erreurs ont été commises (par exemple : l’examen par accident ou non de données privées). Heureusement, il y a moins de risques aujourd’hui que des pirates qui ont agi éthiquement soient encore poursuivis, comparé à ce qu’il se passait il y a 10 ans.
Y a-t-il des collaborations entre entreprises et les hackers éthiques sont-ils intégrés aujourd’hui dans notre pays?
La plateforme bug bounty d’Intigriti reçoit chaque semaine de nouveaux clients belges. Je pense que la plupart des entreprises sont déjà au moins au courant de l’existence de telles collaborations.
Comment élargissez-vous vos connaissances en tant que hacker éthique ?
Je continue surtout à bricoler des choses et ce bricolage débouche de temps à autre sur la découverte d’une nouvelle vulnérabilité. Ensuite, je partage celle-ci avec d’autres hackers éthiques de manière à ce qu’ils puissent informer leurs clients et vice versa.
Avons-nous suffisamment de hackers éthiques en Belgique ? Y a-t-il suffisamment d’intérêt chez les jeunes ?
Ma boîte mails me révèle que les jeunes manifestent un très grand intérêt pour le piratage éthique. Hélas, les ressources pour l’apprentissage sont plutôt limitées. J’y changerai peut-être quelque chose sous peu.
Vous avez été élu MVH lors de la conférence de Hackers One, le prix le plus prestigieux que l’on puisse obtenir dans votre domaine. Y a-t-il encore d’autres pirates éthiques qui attirent votre attention ?
Oui, absolument. Même si j’ai remporté ce titre, je continue parfois à me sentir petit par rapport à d’autres pirates (légendaires) qui étaient présents à cette occasion. Ce qu’il y a de bien dans la communauté des pirates, c’est que nous regardons tous un petit peu ce qu’il se passe chez les autres. Chacun est bon dans quelque chose. Nous nous aidons souvent si nous restons bloqués par quelque chose et c’est très bien.
Copyright: HackerOne
Vous avez déjà piraté Google, Yahoo, Facebook, Playstation – le compte Twitter de Trump. Quel est votre prochain défi ?
Votre entreprise. Invitez-moi via Intigriti et je viendrai jeter un coup d’œil!
Uh ow :-) Merci pour cette généreuse proposition et toutes ces informations précieuses.
