Interview : sécurité, tout connecté, que nous réserve le futur ?

0
Nos quotidiens s'interconnectent un peu plus chaque jour : de nos ordinateurs à nos montres, de nos télévisions à nos pots de fleurs et, bien entendu, de notre vie publique à notre vie privée. Si ce n'est les limites que nous tentons de nous fixer, qui nous protège aujourd'hui ? Et demain ?

Nous avons eu l'occasion de poser quelques questions concernant l'avenir de la sécurité et de la vie privée à Alexandru « Jay » Balan, Chief Security Researcher ainsi qu'à Gauthier Vathaire, Brand Marketing Manager, tous deux employés chez Bitdefender.

Nous avons parlé confidentialité, IA, mais aussi Bug Bounty ou encore Spectre. Failles humaines ou matérielles, trous béants laissés par les industriels : qui contrôlera les technologies de demain ?

Condidentialité vie privée

Vie privée et solutions de sécurité

logo clubic icone

Clubic.com
Les suites de sécurité sont de plus en plus englobantes : aujourd'hui elles protègent nos ordinateurs bien entendu, mais aussi nos enfants sur internet, nos paiements, nos smartphones et nos objets connectés.

En plus de notre sécurité, les logiciels tendent de plus en plus à protéger notre vie privée : comment les éditeurs se sont-ils approprié cette thématique ? Certaines menaces ou évènements ont-ils été des déclencheurs ?
Aujourd'hui, la quasi-totalité des entreprises offrant des services sur Internet et que nous utilisons quotidiennement stockent certaines de nos données personnelles. Que cela soit de par la nature de la prestation du service proposé (comme du stockage en ligne) ou bien pour des objectifs de monétisation des données en échange des services utilisés, comme dans le cadre de ciblage publicitaire. Dès lors, nos données personnelles ne se trouvent plus seulement en local, sur nos appareils, mais aussi sur des serveurs tiers dont la sécurité ne dépend plus de nous.

C'est dans cette optique que les lois évoluent, avec notamment l'arrivée de la RGPD et que les éditeurs de solutions de sécurité développent des outils et technologies destinés à protéger davantage la vie privée des utilisateurs.

Parmi les évènements récents qui ont contribué à une plus grande prise de conscience on peut dénombrer la compromission de milliards d'identifiants et mots de passe chez Yahoo, les hacks de Dropbox, LinkedIn, Twitter, ou encore Facebook avec l'affaire Cambridge Analytica.
Gauthier Vathaire

Gauthier Vathaire

Protéger l'humain... de lui-même ?

hacker pirate doigts clavier mac

logo clubic icone

Clubic.com
Le phishing et le scam (ou broutage) sont des problématiques difficiles à couvrir puisqu'elles ont pour particularité d'attaquer la crédulité des individus. Est-on capables aujourd'hui de protéger les utilisateurs de ce type de menace ?
Ces menaces se basent souvent sur de l'ingénierie sociale ; c'est-à-dire qu'elles n'exploitent pas des vulnérabilités logicielles, mais la « faille humaine ». Les pirates tentent de se faire passer pour un de vos contacts, des FAI, des sociétés d'assurance ou des banques par exemple dont ils vont mimer les emails ou les pages web et leurs formulaires, dans le but de récupérer des identifiants ou des coordonnées bancaires.

Même s'il faut bien sûr toujours faire preuve de prudence en ligne, une bonne solution de sécurité offre une protection efficace contre ce type de menace. Au niveau de la prévention, chez Bitdefender, les fonctions de protection sur le Web et de filtrage permettent de détecter et bloquer les millions de pages de phishing ou de fraudes répertoriées dans nos bases de données et leurs variantes, détectent les liens malveillants et identifient les serveurs dangereux en lien avec ces pages afin de protéger les utilisateurs qui font face à des arnaques de plus en plus abouties et crédibles. L'antispam permet quant à lui de bloquer les menaces contenues dans les e-mails. Enfin, d'autres technologies permettent d'offrir une couche de protection supplémentaire, en bloquant l'envoi de vos données sensibles sur des connexions non sécurisées.
Gauthier Vathaire

Gauthier Vathaire
logo clubic icone

Clubic.com
Si demain cette pratique s'industrialise encore plus notamment par l'usage de pseudo intelligence artificielle comme les chatbot ; pourrait-on imaginer identifier la machine de l'humain ?
C'est un sujet très complexe. Il y a l'IA qui essaie de battre le test de Turing et de simuler le comportement humain, mais la plupart des IAs ont simplement pour objectif de corréler, extrapoler et présenter des données.

Cela étant dit, la plupart des utilisateurs sont ou ont déjà été victimes d'attaques de fraude et d'hameçonnage causés par des chatbots de discussion automatisée, en particulier ceux qui imitent des célibataires à la recherche de partenaires.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Est-il possible de traiter ce genre de menace sans entrer dans la vie privée des gens justement ?
Il est tout à fait possible de traiter ces menaces sans mettre en péril la vie privée des utilisateurs.

Bien entendu, pour pouvoir protéger efficacement les utilisateurs, la solution de sécurité doit pouvoir protéger l'ensemble des niveaux et des fichiers des machines qui abritent ces données, mais il est impératif pour autant qu'elles conservent leur caractère privé. Nous traitons plusieurs milliards de requêtes par jour sur nos serveurs ; ces données sont sécurisées et traitées de manière anonyme pour nous permettre de faire bénéficier à plus de 500 millions d'utilisateurs des dernières avancées en matière de cybersécurité à travers le monde de manière quasi instantanée.
Gauthier Vathaire

Gauthier Vathaire

Assistants personnels, maison connectée : les murs ont des oreilles

Google Home blood

logo clubic icone

Clubic.com
Quelles pourraient-être les dérives, en termes de données personnelles et de sécurité, liées à l'usage des assistants personnels (Alexa, Google Home, Apple Homepod) ? Mise sur écoute et/ou chantage ?
Un assistant personnel est un objet connecté. Comme tous les objets connectés, il est probable qu'il stocke des données personnelles telles que vos identifiants, vos mots de passe, vos conversations, etc. S'il est compromis, non seulement ces données peuvent être récupérées, mais cela peut ouvrir un accès à l'ensemble des données disponibles sur votre réseau domestique. Cet objet connecté peut également être infecté et devenir un « appareil zombie » dont un pirate peut disposer pour miner des cryptomonnaies ou lancer des attaques sur Internet via des Botnets.

De plus, comme évoqué, ce genre d'objets contiennent des microphones pour écouter les requêtes de ses utilisateurs, ainsi que des haut-parleurs. Un pirate ou un état pourrait donc potentiellement mettre sur écoute continue sa victime ou bien diffuser des sons indésirables à distance.

Enfin, ces assistants permettent de piloter votre maison connectée. Avec votre voix, vous pouvez activer une alarme, fermer des stores, verrouiller votre maison. On peut imaginer donc qu'ayant piraté votre appareil, une personne malintentionnée puisse couper l'alarme, et / ou déverrouiller votre serrure connectée...
Gauthier Vathaire

Gauthier Vathaire
logo clubic icone

Clubic.com
Où se situent en général la ou les vulnérabilités avec de tels dispositifs ?
La plupart des objets connectés sont mis en vente sans tenir compte des critères de sécurité les plus basiques. Cela coûte en effet plus cher et retarde leur mise sur le marché. D'ailleurs le client est-il prêt à payer un peu plus cher avec l'argument d'une meilleure sécurité ?

Les recherches de Bitdefender sur les objets connectés ont démontré que la grande majorité des vulnérabilités détectées concernent le firmware, ou micrologiciel. Ce programme est intégré par le fabricant dans un objet connecté et nécessaire à son fonctionnement. Il est donc très important, lorsqu'on choisit des objets connectés, d'étudier la politique de sécurité de l'entreprise qui a fabriqué l'objet ; le produit dispose-t-il d'un suivi et les mises à jour sont-elles régulières ?

Chaque jour, de nouvelles failles sont trouvées ou dévoilées et remettent en question la sécurité de tous ces appareils connectés à Internet. C'est dans cette optique que nous proposons Bitdefender BOX : une solution alliant logiciel et matériel permettant de bloquer les attaques et d'empêcher l'exploitation de vulnérabilités pour tous les appareils et objets connectés.
Gauthier Vathaire

Gauthier Vathaire
logo clubic icone

Clubic.com
Si l'appareil en lui-même est protégé, les géants tels qu'Apple, Google ou Amazon sont-ils eux-mêmes protégés par des entreprises de sécurité tiers ou faut-il leur faire confiance aveuglément ?
Toutes les entreprises responsables disposent d'outils et de mesures de sécurité intégrés à la fois dans les produits, dans leurs infrastructures et dans le cycle de vie du développement des produits qu'ils commercialisent. Ce qui fait la différence, c'est le mode de gestion des incidents. Un jour ou l'autre, des vulnérabilités sont découvertes dans tous les produits.

Il n'y a qu'à rechercher sur Google « vulnérabilité dans Chrome » ou « vulnérabilité dans iOS » pour se rendre compte de l'ampleur de problème à travers des centaines d'articles sur le sujet. Pour revenir sur mon propos, ce qui fait la différence, c'est la rapidité avec laquelle les mises à jour sont publiées ainsi que la façon dont s'assurent que ces mises à jour soient bien installées sur les appareils de leurs clients.

À quand remonte la dernière fois que vous avez mis à jour le firmware de votre imprimante ? Ou de votre routeur ? Ou de votre Smart TV ? Ou de votre ampoule connectée ?
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Le rôle des solutions de sécurité sera-t-elle, demain, surtout de nous anonymiser afin d'éviter d'être nommément ciblé par une menace ? Est-ce même imaginable ?
Bien sûr que cela est imaginable, car c'est d'ailleurs déjà le cas aujourd'hui. Nous offrons à nos utilisateurs des fonctionnalités et des outils pour préserver leur vie privée face aux menaces. Par exemple, le VPN permet de conserver un anonymat total lorsqu'on navigue sur Internet. Nos technologies de protection bloquent l'envoi de vos données personnelles lorsque ces dernières ne sont pas chiffrées.

Par extension, toutes les entreprises sont d'ailleurs concernées ; anonymiser un maximum les données récoltées permet de minimiser l'impact d'une attaque ou l'exploitation d'une faille dans leurs systèmes.
Gauthier Vathaire

Gauthier Vathaire

Véhicules autonomes : de l'incident à l'accident

véhicules autonomes

logo clubic icone

Clubic.com
La partie pilotage et géolocalisation d'un véhicule autonome d'aujourd'hui est-il interconnectée avec « l'extérieur » ?
Oui, la plupart du temps. Au minimum, les véhicules sont connectés pour recevoir des mises à jour des modèles appris par leur IA. Mais ces mises à jour sont validées et toutes les entrées externes sont soigneusement vérifiées.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Devrais-je avoir peur qu'on puisse prendre le contrôle de mon véhicule autonome demain pour par exemple, provoquer un accident volontairement, me rançonner ou m'enlever ?
Peur ? Non. Préoccupé ? Oui. La peur n'est jamais une bonne chose. Mais nous savons que, dans l'industrie de la sécurité, tout peut et va arriver.

Il n'y a pas de petites éventualités dans ce domaine. Alors oui, il doit y avoir une préoccupation constante de divers types d'attaques dans l'esprit des fabricants et des utilisateurs.

Je veux dire que nous avons vu des démonstrations il y a 3 ans d'attaquants piratant à distance une voiture, avec son conducteur. Ils ont pu prendre le contrôle de l'accélération, des freins et du volant.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Devrais-je acheter un antivirus pour mon véhicule comme je le fais déjà pour mon ordinateur ?
Il faut plutôt penser au concept de « solution de sécurité » plutôt que d'antivirus. En effet, quand le moment viendra où l'industrie automobile ouvrira et mettra à disposition leurs systèmes, une solution de sécurité sera obligatoire.

La question que nous devrions nous poser à l'heure actuelle est plutôt : « Quelle solution de sécurité utiliser pour s'assurer que personne ne trafique la logique comportementale de ma voiture ? ».
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Faut-il imaginer des puces agissant en « bas niveau » à la détection de comportements anormaux ou est-ce que l'humain est le seul à pouvoir intervenir et débrayer ?
Comme c'est déjà le cas, l'IA et le machine learning sont utilisés pour automatiser le processus de détection. Le facteur humain ne devrait être utilisé que pour l'ajustement et la validation de ces processus.
Alexandru Balan

Alexandru "Jay" Balan

Entreprise : des failles à tous les étages

entreprise accord faille

logo clubic icone

Clubic.com
Si demain, les sociétés antivirus protègent les intérêts des particuliers et des entreprises de façon encore plus large, est-ce que la cible des pirates ne sera pas prioritairement les sociétés antivirus elles-mêmes ?
Les éditeurs ont été l'une des cibles principales pour les attaquants depuis qu'ils ont réalisé qu'une solution de sécurité était installée sur presque tous les ordinateurs du monde. Bien évidemment, nous avons mis en place de nombreuses contre-mesures pour nous assurer que ces attaques échouent.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Qui surveille ou protège les sociétés de sécurité ? Pensez-vous que les gouvernements devraient prendre cette place ? Une organisation internationale sur le modèle de l'ONU ?
Les gouvernements peuvent établir des normes et faire en sorte qu'elles soient respectées. Mais nous sommes les experts. Nous protégeons les gouvernements, pas l'inverse ;)
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
... Ou est-ce le rôle des citoyens (à la façon du « Bug Bounty ») de découvrir les failles qui pèsent sur les systèmes ?
Exactement ! C'est la raison pour laquelle il existe des programmes Bug Bounty.

Il serait très prétentieux de croire qu'il est possible de trouver toutes les failles de sécurité dans des infrastructures avec ses propres ressources internes, surtout comparées à la communauté de sécurité mondiale.

À titre d'exemple, nous avons des équipes dédiées qui recherchent constamment des failles potentielles dans nos composants technologiques et humains de notre entreprise et nous avons en parallèle 2 programmes Bug Bounty. Et nous envisageons d'en créer un troisième.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Considérant des failles comme Spectre ou Meltdown découvertes au moins 5 ans après avoir été commises, comment se fait-il que le matériel grand public ne soit pas contrôlé avant sa mise sur le marché ?
Je pense que nous devrions nous réjouir que cela soit découvert, documenté, publié et corrigé. Si l'on met en perspective le nombre de problèmes résolus lors des évaluations de QA et de sécurité interne avec ceux qui ont été découverts après le lancement, on comprend qu'il n'est pas rare de voir apparaître quelque chose de critique après la publication.

Vous souvenez-vous de Heartbleed ? C'était pire que Spectre et Meltdown.

Je l'appelle la vulnérabilité de Schroedinger. Ce n'est pas parce qu'elle n'a pas encore été découverte et publiée qu'elle n'existe pas déjà. Vous pouvez donc vous attendre à des problèmes plus critiques dans des produits sensibles à l'avenir. Cela ne changera jamais.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
A quel horizon travaillent les équipes de recherche d'une société comme Bitdefender ? À quel point anticipent-ils les technologies qu'il leur faudra protéger demain ?
Nous avons déjà anticipé la nécessité de proposer une solution qui va au-delà de la protection des appareils classiques (ordinateurs, smartphone, tablette, etc.) lorsque nous avons lancé Bitdefender BOX en 2015, avec pour objectif de protéger également votre routeur, babyphone, caméra connectée, vos ampoules et tous vos autres objets connectés. Nous sommes fiers de dire que nous étions les premiers à identifier ce besoin et à lancer un produit innovant. Nous avons créé un nouveau segment dans l'industrie de la cybersécurité.

Vous pouvez voir maintenant que presque tous nos concurrents proposent des solutions pour l'Internet des Objets. Le besoin de sécurité a toujours été présent et le sera encore plus demain.

Considérez que tout devient automatisé. Tous les fabricants ajoutent de la connectivité à tous leurs produits pour comprendre comment ils sont utilisés et pour améliorer leurs fonctionnalités.

La surface d'attaque est en expansion constante et, conscients de cela, nous gardons une longueur d'avance sur les attaquants qui, nous le savons, vont essayer de rentabiliser et de monétiser cette surface d'attaque grandissante.
Alexandru Balan

Alexandru "Jay" Balan
logo clubic icone

Clubic.com
Merci Alexandru, merci Gauthier !
Cet article vous est offert par Bitdefender.
Pour autant, comme expliqué dans notre charte, Bitdefender nous a laissé toute liberté dans le choix du sujet ainsi que dans son traitement.
ARTICLE SPONSORISÉ
Haut de page