[VIDEO] Les 7 leçons de Mikko Hypponen


Revivez dans cette vidéo la conférence de Mikko Hypponen, Chief Research Officer de F-Secure « The Cyber Arms Race » tenue lors du FIC.

Actualités, À la une, Bonnes Pratiques, Cybersécurité, F-Secure // 06/03/2017

Cela fait 26 ans que Mikko Hypponen, Chief Research Officer chez F-Secure chasse les hackers, analyse les malware et arrête les attaques pour défendre votre vie privée et votre vie sur internet. En cela, il a quelques bonnes leçons à partager avec vous.

« On ne peut pas patcher les humains »

Il existe deux types de problèmes : les problèmes techniques et les problèmes humains… c’est tout. Si vous résolvez les deux, vous êtes sauvés. Malheureusement cela n’arrivera jamais car si les problèmes techniques proviennent de bugs, il est toujours possible de corriger et mettre à jour le programme. Quant à l’erreur humaine… vous aurez beau répéter « ne cliquez pas sur ce lien », « n’ouvrez pas cette pièce jointe », les gens continueront à cliquer encore et encore… Ce que Mikko a appris depuis tout ce temps c’est que la sensibilisation ne fonctionne pas.

« Nous sommes en 2017, et nous parlons toujours de mots de passe »

 Même des personnes très intelligentes font des erreurs… Mark Zuckerberg, par exemple, utilisait le même mot de passe « dadada » pour ses comptes Linkedin, Twitter, Pinterest… tous piratés en 2016. Selon Mikko, tous les conseils sur les mots de passe sont mauvais : on vous recommande d’utiliser un mot de passe, long et aléatoire, différent pour chaque site… sans l’écrire sur un papier. Si ces conseils étaient valables en 1997 lorsque l’on utilisait au maximum trois comptes, comment faire lorsque théoriquement l’on devrait avoir plusieurs dizaines de mots de passe, voire une centaine ? Les écrire oui… mais dans un gestionnaire de mots de passe chiffré.

« Combien gagnent les pirates ? Suffisamment… »

Mikko décortique le cas du hack de 120 millions de comptes Linkedin réalisé par Yevgeniy Nikulin, un Russe âgé de 29 ans. Pourquoi les mots de passe qu’il a revendus depuis 2012 intéressent les pirates ? C’est simple : si 15% des gens n’ont qu’un seul mot de passe, les hackers peuvent alors pirater leurs boîtes mails, voir les sites marchands auxquels ils sont inscrits, s’y rendre avec le même mot de passe ou en le réinitialisant, et faire des achats si les coordonnées bancaires ont été enregistrées. Combien cela a rapporté à Yevgeniy Nikulin de vendre ces identifiants et mots de passe ? « Suffisamment » à en croire les photos de voitures de sport – Lamborghini, Mercedes, Aston Martin, Porsche – postées sur ses compte Youtube et Instagram.

« Les attaques par chevaux de Troie ne sont pas les plus répandues »

Pour gagner de l’argent, les pirates utilisent le bitcoin pour revendre des données mais également pour faire payer les victimes. Les attaques par ransomware – dont le plus vicieux est sans aucun doute Popcorn – sont les plus connues mais pas forcément les plus répandues pour faire chanter les entreprises. Les pirates recherchent davantage des bases de données MongoDB en scannant internet. Pourquoi ? Parce que ces bases ont des mots de passe par défaut ou pas de mot de passe du tout. Ainsi, ils peuvent se connecter, faire une copie du contenu, le supprimer et ne laisser qu’un petit mot pour demander de l’argent contre restitution des données. 40 000 bases auraient été piratées. Pour anticiper, l’on peut supposer que le chantage va probablement s’étendre aux objets connectés : bloquer votre voiture connectée pour vous demander une rançon, n’est-ce pas une bonne idée ?

« Les objets connectés sont le maillon faible de votre réseau interne »

La révolution des objets connectés va avoir lieu et elle a déjà commencé… cela pose déjà problème aux entreprises. Ces objets, apportés par des salariés dans les bureaux, utilisent souvent des protocoles non chiffrés comme Telnet, possèdent majoritairement des mots de passe par défaut ou contiennent des vulnérabilités plus graves. En effet, une bouilloire connectée peut révéler les mots de passe du réseau Wi-Fi ! Ce n’est donc pas étonnant que les pirates fabriquent des botnets : Mirai a attaqué 120 000 appareils en scannant les plages d’adresses IP. Avec les objets connectés, nous régressons. Et cela ne va pas s’arranger car la sécurité n’étant pas un argument de vente, les fabricants n’ont aucun intérêt à investir de l’argent dans ce sens. Le seul espoir passe par la régulation.

« Oui, il y a eu des attaques, qui je pense, sont des exemples de cyber guerre »

Autre tendance du moment : le piratage par des gouvernements. Ces derniers écrivent des malware et divulguent des informations confidentielles. En reprenant l’exemple du hack des démocrates et de la réaction de Vladimir Poutine lors d’une interview sur Bloomberg TV, Mikko pose la question suivante : est-ce la cyber guerre ? Il s’agit entre les Etats-Unis et la Russie d’espionnage mais pas de cyber guerre. En revanche, le fait de réaliser des attaques ciblées sur des soldats ukrainiens pour les localiser et pilonner leur position peut être considéré comme tel…

« Les données sont le nouveau pétrole »

Beaucoup de gens utilisent les services Google… et ne payent rien. Pourtant la société californienne a réalisé 80 milliards de recettes et 12 milliards de profit l’année dernière… c’est bien la preuve que la data est le nouveau pétrole. Et comme avec le pétrole, les données vont apporter leur lot de prospérité et leur lot de problèmes. Quand vous travaillez dans le pétrole vous devez vous soucier des fuites de pétrole. Quand vous travaillez dans les données, vous devez vous soucier des données. Ainsi se conclut la conférence de Mikko : « Voici le monde dans lequel nous vivons. »

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s