Les hackers éthiques de la communauté HackerOne, une plateforme de bug bounty (chasse aux bugs), ainsi que son PDG Marten Mickos, tirent les leçons de 2020, en particulier de la pandémie du Covid-19, et livrent leurs prédictions pour l’avenir en matière de cybersécurité.
Une mobilisation en équipes afin de détecter des vulnérabilités critiques
Le hacker australien Shubham Shah, alias @notnaffy, a remarqué que l’augmentation du temps libre due à la pandémie a permis aux hackers éthiques de se mobiliser en équipes afin de détecter des vulnérabilités critiques .“Suite à l’immobilisation qui a frappé le monde, j’ai été plus souvent amené à collaborer virtuellement avec d’autres hackers dans le cadre de programmes de bug bounty afin de détecter des vulnérabilités toujours plus critiques. Deux variables sont à prendre en compte lorsque l’on élabore une stratégie de cybersécurité : le temps et les ressources. Et en raison des événements récents, les hackers éthiques ont beaucoup plus de temps pour tenter d’infiltrer les systèmes de sécurité, ce qui signifie plus de chance de détecter une vulnérabilité avant qu’elle ne puisse être exploitée”.
Le hacker singapourien Samuel Eng, alias @Samengmg, confirme que les hackers ont été très occupés ces derniers mois : “En raison de la pandémie de Covid-19, j’ai vu un afflux de hackers s’emparer de bug bounty dans divers programmes. J’ai remarqué que de nombreux programmes se sont très rapidement renforcés au début de la pandémie, avec notamment les types de vulnérabilité communes comme XSS, les injections SQL et les contournements d’authentification de base”.
“J’ai remarqué que de nombreux programmes se sont très rapidement renforcés au début de la pandémie”, Samuel Eng
La transformation numérique accentue le risque de cyber-menace
Préoccupé par l’impact de la pandémie de Covid-19 sur la sécurité, notamment avec les entreprises et les écoles qui ont dû accélérer leur transformation numérique, le hacker allemand Julien Ahrens, alias @MrTuxracer, explique : “La pandémie de Covid-19 a forcé les entreprises à accélérer leur transformation numérique d’une manière inattendue. Je pense que cette situation va accentuer le risque de cyber-menace, notamment pour ceux qui n’auraient pas bien verrouillé cette intensification des pratiques numériques. En outre, il est particulièrement frappant de voir la vitesse à laquelle les institutions gouvernementales et les écoles ont su s’adapter. Alors qu’il n’était pas prédominant avant la pandémie, l’enseignement à distance est de facto devenu la norme au sein de presque toutes les écoles. Mais comme beaucoup ont dû le faire en peu de temps et avec peu de moyens, cela ne préfigure pas d’une sécurité sans faille. Et je ne fais pas uniquement allusion aux failles techniques, mais à tout l’aspect autour de la sensibilisation des utilisateurs à la sécurité qui est essentielle”.
“Beaucoup ont dû le faire en peu de temps et avec peu de moyens, cela ne préfigure pas d’une sécurité sans faille”, Julien Ahrens
Des méthodes d’attaque nouvelles, plus subtiles et encore inconnues
James Kettle, alias @albinowax, du Royaume-Uni voit déjà de nouvelles méthodes d’attaque se dessiner pour 2021. Il avertit sur le fait que “les attaques classiques étant désormais détectées de manière automatisée, je pense qu’une des futures tendances sera de voir les cybercriminels tenter des approches nouvelles, plus subtiles et encore inconnues – s’appuyant par exemple sur une faille dans un processus commercial, jouant sur un timing particulier ou reposant sur des techniques d’attaque encore plus complexes. Nous verrons ainsi de plus en plus d’acteurs tirer profit des disparités existantes entre les applications multiserveurs, par le biais d’attaques dites de dissimulation de requêtes, de pollution de paramètres HTTP et des exploits de normalisation de chemin URL”.
“De plus en plus d’acteurs tirerONT profit des disparités existantes entre les applications multiserveurs, par le biais d’attaques dites de dissimulation de requêtes, de pollution de paramètres HTTP et des exploits de normalisation de chemin UR”, James Kettle
L’ingénierie sociale restera par ailleurs un enjeu majeur pour 2021 explique le hacker allemand Julien Ahrens. “Il faut s’attendre à ce que tous les types d’attaques augmentent en 2021 car de plus en plus d’entreprises prennent le tournant du numérique. Il y a cependant un type d’attaque qui, je pense, connaîtra un boom exponentiel : l’ingénierie sociale. Je pense que les attaques d’ingénierie sociale à l’encontre de personnes pas suffisamment protégées et sensibilisées augmenteront massivement car les entreprises n’auront pas eu le temps d’informer suffisamment leurs employés sur ce type de menace”.
Gérer une surface d’attaque élargie
Marten Mickos, PDG de HackerOne, prédit qu’il ne restera que très peu d’entreprises non numériques d’ici la fin de 2021. Beaucoup d’entre-elles commencent tout juste à se numériser, beaucoup optent pour une migration vers le Cloud, sans compter le nombre croissant d’entreprises juste nées dans le Cloud. “En réalité tout se passe comme au passage à l’an 2000, il a fallu mettre à jour l’ensemble des systèmes informatiques du jour au lendemain. Le même scénario s’impose avec la pandémie de Covid-19, notamment avec toutes les transformations numériques enclenchées de manière précipitée. La moitié des entreprises seront complètement transformées par les nouvelles exigences du numérique. Je pense que les services financiers seront les plus touchés, mais il sera particulièrement intéressant de voir comment des entreprises comme celles du retail, les restaurants et les coiffeurs s’adapteront aux exigences d’une vie plus numérique. La transformation sera probablement plus lente au sein de certaines institutions gouvernementales, qui ont besoin de plus de temps pour prendre le virage du numérique. L’Estonie peut d’ailleurs être vu comme un exemple de transformation réussie dans le secteur public, avec des fonctions gouvernementales entièrement numériques, et où de nombreux services comme le vote et les paiements se font en ligne”.
“En réalité tout se passe comme au passage à l’an 2000, il a fallu mettre à jour l’ensemble des systèmes informatiques du jour au lendemain. Le même scénario s’impose avec la pandémie de Covid-19”, Marten Mickos
La hacker Australien Shubham Shah ajoute : “En attendant que les entreprises se remettent de cette pandémie et que l’économie se reconstruise, j’envisage une hausse du développement et du déploiement d’applications. Les réseaux seront mis à rude épreuve et cette croissance sera difficile à gérer du point de vue de la sécurité car le défi principal consistera à gérer une surface d’attaque élargie.”
Alors que les entreprises tendent de plus en plus vers le “cloud first”, et que la migration vers le Cloud se poursuit, Shubham s’attend à voir les entreprises adopter des technologies plus récentes, telles que Kubernetes, afin d’orchestrer le déploiement d’applications et de services critiques. Cependant il est important de noter, “qu’avec l’adoption de nouvelles technologies et méthodes, il y a généralement des erreurs de configuration et des faux pas en cours de route pouvant conduire à des vulnérabilités”.
“Les réseaux seront mis à rude épreuve et cette croissance sera difficile à gérer du point de vue de la sécurité”, Shubham Shah
Des programmes publics de divulgation de vulnérabilités obligatoires
Parmi les annonces qui ont particulièrement marqué 2020 et qui vont donner encore plus de poids à la sécurité collaborative, Marten Mickos, PDG de HackerOne, souligne qu’une nouvelle loi aux Etats-Unis a rendu obligatoire la mise en œuvre d’un programme public de divulgation de vulnérabilités (VDP) pour chaque agence fédérale (directive opérationnelle BOD 20-01). La publication d’un programme de VDP permettra aux utilisateurs de signaler plus facilement les vulnérabilités une fois détectées au sein des systèmes en ligne du gouvernement fédéral. Cette législation cruciale permet aux institutions gouvernementales d’obtenir des retours d’expérience en matière de sécurité de tiers, ce qui leur permettra in fine de mieux cerner et corriger leurs points faibles.
Il n’est pas exclu que d’autres gouvernements suivent l’exemple des États-Unis. Marten prédit que le Royaume-Uni sera le prochain pays à faire pression pour rendre obligatoire l’utilisation de VDP pour l’IoT grand public. Marten prévoit que d’autres gouvernements techniquement avancés sont également sur la bonne voie comme Singapour et les Pays-Bas. De nombreuses villes néerlandaises possèdent déjà des VDP au sein de leurs organisations gouvernementales locales. La région DACH, bien que conservatrice, accorde une grande priorité à la sécurité de ses citoyens. Tout récemment, les forces armées allemandes ont dévoilé leur propre programme de bug bounty et le gouvernement suisse a déjà introduit un VDP pour sa technologie de vote. La France en revanche, soutenue par les efforts de l’agence nationale ANSSI, sera-t-elle bientôt prête à leur emboîter le pas ?
“Le Royaume-Uni sera le prochain pays à faire pression pour rendre obligatoire l’utilisation de VDP pour l’IoT grand publicé”, Marten Mickos
Aux États-Unis, la sécurité des élections a été une priorité pour le chercheur en cybersécurité (et hacker) Jack Cable, alias @CableJ. Les entreprises et les gouvernements ont en effet adopté des mesures pour engager des hackers éthiques. Les secrétaires d’État de l’Ohio et de l’Iowa ont tous deux lancé des politiques de divulgation des vulnérabilités, et ils sont les premiers à initier des campagnes de recherches sur la sécurité de leurs systèmes électoraux publics. Les principaux sous-traitants des systèmes de votes américains ont eux aussi adopté des politiques de divulgation des vulnérabilités, un réel premier pas qui permet de réconcilier les institutions publiques avec la communauté de hackers éthiques. En 2021, les hackers éthiques joueront un rôle de plus en plus important dans la sécurisation de nos systèmes institutionnels et électoraux. “Les institutions publiques et l’industrie ont bien pris conscience qu’il est nécessaire d’instaurer des normes de sécurité publiques pour rendre Internet plus sûr”.