Renforcer sa cybersécurité grâce aux cyberattaques !
Face à des cybermenaces de plus en plus nombreuses et sophistiquées, renforcer sa cybersécurité devient la priorité pour les entreprises. Et pour cela, certaines vont même jusqu’à se faire hacker volontairement ! Leur objectif : révéler les failles et vulnérabilités avant qu’elles ne soient exploitées par des cybercriminels. Leurs moyens : ils sont multiples… Dans l’IT il est possible de faire appel à un white hacker ou pirate éthique, de recruter un pentester ou d’installer soi-même un ver informatique pour hacker sa propre organisation ! L’idée semble intimidante ? Et pourtant ça fonctionne. Shopify, Google ou encore Microsoft ont versé des millions d’euros de primes à des hackers éthiques pour identifier des vulnérabilités dans leurs services. Alors la meilleure défense face aux cyberattaques est elle simplement de les utiliser ? Découvrez-le dans cet article.
Les programmes bug bounty pour attirer des hackers
Les bug bounty sont des programmes lancés par les entreprises, en particulier dans les secteurs technologiques ou dans l’édition de logiciels. Concrètement, ces organisations offrent des récompenses aux hackers qui arrivent à découvrir des vulnérabilités sur tout ou partie de leurs logiciels, sites ou services.
Et ne vous fiez pas à son nom, lors d’un bug bounty les pirates ne sont pas dédommagés en barres chocolatées… Les primes de bogue peuvent atteindre plusieurs centaines de milliers de dollars selon la faille détectée. Par exemple, Verizon Media a versé au total plus de 9,4 millions de dollars aux pirates éthiques depuis le début de son programme bug bounty en 2014. La prime la plus élevée est pour l’instant de 70 000 dollars.
Pour toucher ces récompenses, les hackers ne doivent pas « seulement » pénétrer un réseau ou pirater un site. Chaque programme de bug bounty possède ses propres règles, souvent très strictes. Par exemple, dans son programme Apple précise que les white hackers doivent fournir une description détaillée des vulnérabilités, des étapes nécessaires à l’attaque et des conditions préalables. Bien entendu, aucune donnée personnelle d’utilisateur ne doit être impactée.
Comment trouver ces programmes ? Plutôt facilement, car ils sont librement accessibles sur internet. De nombreuses plateformes proposent d’héberger des bug bounty. Les plus populaires sont :
YesWeHack ;
Hackerone ;
Open Bug Bounty ;
Bugcrowd ;
SafeHats.
La vente de 0-day
Un 0-day ou zéro-day est d’abord une faille dans un programme ou logiciel, dont l’éditeur n’a pas encore connaissance. Un exemple récent (et marquant !) est la faille Log4Shell de Log4J qui a semé un vrai vent de panique dans le domaine IT. Mais dans la cybersécurité, le 0-day représente aussi un véritable business…
Certaines entreprises d’informatique et éditeurs de logiciels de sécurité se sont spécialisés dans la détection de ce type de faille. Ils comptent sur leurs équipes ou font appel à des hackers éthiques (toujours via un système de prime) pour détecter des vulnérabilités critiques. Une fois ces risques identifiés, ils vont les vendre auprès de l’entreprise ou de l’administration concernée. Les principaux acheteurs de 0-day seraient les services secrets, l’État ou encore l’armée.
Certaines entreprises peuvent aussi adopter des pratiques moins éthiques en révélant publiquement l’existence de zéro-day pour faire leur promotion ou si l’éditeur du service ou logiciel touché n’a pas réagi après leur avertissement. Pour contrer ces pratiques, les grandes entreprises organisent leurs propres programmes zéro days et rémunèrent elles-mêmes les hackers pour la découverte des failles.
Quelle est alors la différence entre un programme 0-day et un bug bounty ? Le montant de la prime ! L’entreprise Zerodium, un broker de failles critiques a annoncé offrir des récompenses pouvant atteindre les 2 500 000 dollars par soumission ! Avec cette somme, la firme cherche à acquérir des vulnérabilités à haut risque avec des exploits entièrement fonctionnels. Pour Zerodium, les primes de bug bounty sont moins élevées, car elles financent la découverte de presque tous les types de vulnérabilités, même les moins critiques.
Et leurs points communs ? Leur efficacité pour renforcer sa cybersécurité et leur inaccessibilité pour les plus petites entreprises. Pas toujours évident en effet de dépenser des centaines de milliers d’euros pour le repérage d’une vulnérabilité. Pour ces structures, il reste une solution : se pirater soi-même !
Le pentesteur, un professionnel payé pour hacker son entreprise !
Le pentesteur contraction de « pénétration test » est un expert de l’IT chargé de réaliser des tests d’intrusion afin de vérifier la résilience d’un système d’information. Son objectif est d’identifier les failles, mais aussi d’apporter des conseils sur la façon de diminuer les risques.
Pour réaliser ses tests et audits, il peut travailler en :
Boîte noire ou Black box, c’est-à-dire qu’il réalise ses tests d’intrusion comme un attaquant externe avec une connaissance minimale du SI.
Boîte blanche ou White box où il exécute ses tests avec les accès d’un administrateur système ou réseau pour simuler une fausse manipulation ou une attaque interne.
Boîte grise ou Grey box où il fait ses essais du point de vue d’un utilisateur interne standard avec une connaissance du SI et des droits d’accès (normalement) limités.
Cet expert en cybersécurité peut également simuler de véritables attaques sur le SI en utilisant ou créant ses outils et méthodes. Selon sa structure, il peut être amené à piéger les salariés avec, par exemple, des techniques d’ingénierie sociale afin de les sensibiliser aux risques.
Ce métier indispensable fait partie des profils les plus recherchés sur le marché IT ! Si vous êtes déjà pentesteur, n’hésitez pas à visiter notre jobboard pour consulter les offres disponibles !
Et si vous représentez une entreprise et que vous n’avez pas encore réussi à recruter vos experts en cybersécurité, les équipes de Cymulate ont peut-être une solution pour vous : un gentil petit ver informatique…
Hopper un ver informatique bienfaisant !
Les vers informatiques ou worm font moins parler d’eux que les ransomwares. Pourtant, ils peuvent être aussi dévastateurs, car le but d’un worm est de se multiplier le plus rapidement possible et certains d’entre eux y arrivent particulièrement bien.
L’exemple le plus connu est le célèbre ver informatique « I love you » qui en 2000 s’est propagé dans le monde entier jusqu’à atteindre les ordinateurs de la CIA, du FBI et même du pentagone ! Présenté comme ça, il est assez compliqué d’envisager d’en ajouter un dans son propre système.
Pourtant, pour les experts de la société Cymulate, spécialisés dans la cybersécurité, il n’y a rien de mieux qu’un ver pour se débarrasser d’un autre ver… Ils ont ainsi conçu leur propre worm baptisé « Hooper ». Les capacités de Hooper sont gardées secrètes puisqu’il doit simuler un logiciel malveillant inconnu, mais il intègre des méthodes d’exécution et un système de commandes.
Grâce à cette menace contrôlée, les entreprises peuvent :
repérer leurs vulnérabilités ;
comprendre comment les worms s'insèrent dans leurs terminaux ;
vérifier l’efficacité de leur système de détection des menaces ;
comprendre a posteriori jusqu’où un précédent ver a pu se propager.
Face à l’ampleur des attaques, la sécurité informatique risque donc de devoir combattre le feu par le feu… Mais dans l’IT de multiples solutions sont disponibles pour faire des cybermenaces des atouts dans la définition des politiques de défense et de cybersécurité !
Qu’en pensez-vous ? N’hésitez pas à nous partager vos avis ou questions sur le sujet en commentaire ou sur le forum Free-Work !
Par Laura Pouget, Rédactrice Web SEO & Développeuse Informatique.
Sources et liens utiles :
Le top 10 des bug bounty avec les primes les plus importantes
Commentaire
Connectez-vous ou créez votre compte pour réagir à l’article.