• Par Sam Kingsley / AFP, HELSINKI

Alors que le nombre d’appareils en ligne augmente et que les connexions 5G ultra-rapides sont déployées, un nombre record d’entreprises offrent de belles récompenses aux pirates éthiques qui attaquent avec succès leurs systèmes de cybersécurité.

Le domaine en pleine expansion des appareils connectés à Internet, connu sous le nom d’Internet des objets (IoT) et qui comprend les téléviseurs intelligents et les appareils électroménagers, devrait se généraliser une fois que la 5G deviendra plus disponible – ce qui constitue l’une des menaces les plus graves pour le numérique. Sécurité.

Lors d’une conférence organisée par Nokia Corp la semaine dernière, le «hacker sympathique» Keren Elazari a déclaré que la cooptation de pirates – dont beaucoup sont des amateurs – pour rechercher des vulnérabilités «était considérée comme une chose à la mode dans la Silicon Valley il y a six à huit ans.

Photo: AFP

Publicité

Cependant, des «programmes de primes aux bogues» sont désormais proposés par des organisations allant du Pentagone et des banques telles que Goldman Sachs Group Inc aux compagnies aériennes, aux géants de la technologie et à des milliers de petites entreprises.

La plus grande plate-forme de prime aux bogues, HackerOne, compte 800000 pirates informatiques et a déclaré que ses organisations avaient versé un montant record de 44 millions de dollars en récompenses en espèces cette année, en hausse de 87% par rapport aux 12 mois précédents.

«Employer un seul ingénieur en sécurité à plein temps à Londres peut coûter 80 000 ￡ (106 287 USD) par an à une entreprise, alors que nous ouvrons les entreprises à cette communauté mondiale de centaines de milliers de pirates informatiques aux compétences très diversifiées», a déclaré Prash Somaiya , architecte de solutions de sécurité chez HackerOne.

«Nous commençons à voir une augmentation des fournisseurs d’IoT qui prennent le pouvoir de piratage au sérieux», a déclaré Somaiya, ajoutant que HackerOne expédie désormais régulièrement des jouets, des thermostats, des scooters et des voitures connectés à Internet à ses pirates pour qu’ils tentent de percer.

«Nous savons déjà, d’après ce qui s’est passé au cours des cinq dernières années, que les criminels trouvent des moyens très intelligents d’utiliser les appareils numériques», a déclaré Elazari.

La cyberattaque «Mirai» de 2016, au cours de laquelle des attaquants ont pris le contrôle de 300 000 appareils non sécurisés, y compris des imprimantes, des webcams et des enregistreurs de télévision, en est un exemple qui donne à réfléchir, et les a dirigées pour inonder et désactiver les sites Web des médias, des entreprises et des gouvernements du monde entier.

«Dans le futur de la 5G, nous parlons de tous les appareils possibles ayant des connexions à haut débit, ce n’est pas seulement votre ordinateur ou votre téléphone», a déclaré Elazari.

En octobre, Nokia a annoncé avoir détecté une augmentation de 100% des infections par des logiciels malveillants sur les appareils IoT l’année précédente, affirmant dans son rapport sur les menaces que chaque nouvelle application de la 5G offre aux criminels «plus de possibilités d’infliger des dommages et d’obtenir une rançon».

Les récompenses pour les hackers peuvent être élevées: 200 des chasseurs de bogues de HackerOne ont maintenant réclamé plus de 100 000 $ US en prix, tandis que neuf ont franchi la barre des 1 million de dollars US.

Apple, qui fait la publicité de son propre programme de primes aux bogues, a augmenté sa récompense maximale à plus d’un million de dollars à la fin de l’année dernière, pour un pirate informatique capable de démontrer les faiblesses du «zéro clic» qui permettraient à quelqu’un d’accéder à un appareil sans aucune action en l’utilisateur.

« Un gros moteur est bien sûr l’incitation financière, mais il y a cet élément d’un état d’esprit de rupture, pour comprendre comment quelque chose est construit afin que vous puissiez le casser et le déchirer », a déclaré Somaiya. «Être une personne capable de pirater des entreprises de plusieurs milliards de dollars est un vrai plaisir, il y a un buzz.»

La ruée des entreprises vers le travail à distance pendant la pandémie a également conduit à «une poussée de hacktivity», a déclaré HackerOne, avec une augmentation de 59% du nombre de pirates qui s’inscrivent et une augmentation d’un tiers des récompenses versées.

Les gouvernements français et britannique font partie de ceux qui ont ouvert les applications de traçage COVID-19 à des pirates amicaux, a déclaré Somaiya.

Alors que les systèmes Internet 5G auraient de nouvelles fonctionnalités de sécurité intégrées dans l’infrastructure réseau – quelque chose qui était absent auparavant – la nouvelle technologie est beaucoup plus complexe que ses prédécesseurs, laissant plus de potentiel d’erreur humaine.

«Je vois beaucoup de risques de mauvaise configuration et de contrôle d’accès inapproprié; ces problèmes sont l’un des principaux risques », a déclaré Silke Holtmanns, responsable de la recherche sur la sécurité 5G pour la société de cybersécurité AdaptiveMobile Security.

Pourtant, elle a déclaré qu’elle pensait que les entreprises étaient motivées à agir alors que la sécurité progressait dans l’agenda.

L’UE, avec les gouvernements du monde entier, a commencé à resserrer les exigences en matière de cybersécurité envers les organisations, et les amendes pour violations de données ont augmenté.

«Auparavant, il était difficile pour les entreprises de justifier un investissement plus élevé dans la sécurité», a déclaré Holtmanns, qui siège à l’Agence de l’Union européenne pour la cybersécurité.

Cependant, «s’ils peuvent dire:« Avec ce niveau de sécurité, nous pouvons attirer un plus grand nombre de clients ou des primes d’assurance plus faibles », les gens commencent à penser dans cette direction, ce qui est une bonne chose», dit-elle.