Sécurité offensive : Piratage et rupture pour sécuriser Internet.

Pour la plupart des gens en dehors des industries de l’informatique et de la cybersécurité, les mots « hacker » et « hacking » ont des connotations horribles. Beaucoup envisagent un criminel dépourvu de toute morale, dont le seul but est de chaparder, d’espionner ou de diffamer ses victimes.

Une grande partie de cette interprétation est fausse. D’une part, tous les hackers ne sont pas des criminels et tous les hackers ne sont pas des hommes. La peur et l’incompréhension autour du piratage ont créé des obstacles qui peuvent être difficiles à surmonter. Ces obstacles deviennent problématiques lorsqu’ils sont utilisés pour créer des lois qui régissent les comportements des utilisateurs, en particulier lorsqu’il s’agit de sécurité offensive.

La sécurité offensive est un terme chargé. D’un côté, il s’agit du piratage et Justin Else, chef d’équipe de l’AETR (Trusted Emulation and Thrace Research) de TrustedSec, a déclaré que ce n’était pas vraiment l’avenir, en particulier pour la sécurité des entreprises. Certes, il existe des zones grises où les organismes gouvernementaux travaillent en collaboration avec le secteur privé pour faire bon usage du piratage. Par exemple, disons qu’il y a une attaque de botnet : le FBI pourrait contracter avec une compagnie telle que Microsoft pour prendre le botnet et le fermer.

Au-delà de ces circonstances extrêmes, le piratage peut entraîner des conséquences potentiellement désastreuses et involontaires. Le point de départ est subjectif, ce que le Dr Ben Buchanan décrit en détail dans son livre « Le dilemme de la cybersécurité : piratage, confiance et peur entre les nations ».

Même les agences gouvernementales ne sont pas d’accord sur les limites du piratage offensif, comme en témoigne la question de savoir si les Etats-Unis devraient envisager des réponses offensives dans le cyberespace face à la guerre de l’information en Russie.

« Si vous attaquez qui vous avez attaqué, cela pourrait être mal orienté parce qu’il est si facile de prétendre être quelqu’un d’autre. Vous pourriez cibler la mauvaise organisation », a déclaré Elze. Compte tenu des ressources nécessaires pour effectuer la reconnaissance, il semble plus prudent que les entreprises se concentrent sur l’autre aspect de la sécurité offensive.

Rompre avec de bonnes intentions

L’approche de briser et de tester les produits que vous possédez et contrôlez n’est pas nouvelle, mais grâce aux plateformes de bugs, elle est de plus en plus acceptée dans l’industrie. Pourtant, les professeurs de programmes de cybersécurité au niveau collégial sont hésitants quant à l’enseignement de techniques de piratage offensives. Personne ne veut avoir la responsabilité d’avoir appris aux jeunes comment utiliser les outils de piratage, seulement pour les faire partir et enfreindre la loi.

Au lieu de cela, beaucoup enseignent comment les hackers pensent et travaillent, ce qui implique de bricoler avec des produits. Mais, souvent, lorsque des pirates informatiques enfreignent un produit, ils deviennent la cible de l’équipe juridique de l’entreprise. Dans certains cas, ils enfreignent la loi.

La législation en Géorgie a ramené le piratage éthique sur le devant de la scène, ce qui est une bonne chose tant que les législateurs sont ouverts à la technologie. À l’heure actuelle, le projet de loi rendra la vie d’un hacker éthique plutôt difficile, ce qui n’aide guère l’industrie à aller de l’avant.

Certains chercheurs ont même été arrêtés pour avoir signalé des vulnérabilités. Dans d’autres cas, l’équipe juridique de l’entreprise menace le chercheur. « Un chercheur en sécurité ne veut pas être dans cette situation », a déclaré Elze. « S’il y avait un cadre légal, quelque chose de défini pour une divulgation responsable sans répercussions, ce serait un pas dans la bonne direction. »

Les hackers vont bricoler avec des produits. Les bons vont le signaler parce qu’ils veulent aider. Permettre une divulgation responsable des vulnérabilités sans conséquence est un gagnant-gagnant pour les organisations et les pirates informatiques.

Le fournisseur obtient des recherches gratuites malgré le fait que cela pourrait être une violation de leur accord d’utilisateur acceptable, qui devrait également être modifié pour permettre à ceux qui ont de bonnes intentions de vérifier les systèmes pour les failles. Changer le point de vue pour penser à l’intention peut permettre plus de protections pour les chercheurs.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage