Porté par la 5G, le piratage “bienveillant” entre dans un âge d’or

© GettyImages

Bientôt des centaines de millions d’objets connectés et autant de failles possibles pour du piratage: face à un risque démultiplié, de plus en plus d’entreprises s’offrent les services de “pirates amicaux” qui attaquent leurs systèmes pour détecter leurs points faibles.

Ces experts en piratage numérique vont du rang d’amateur occasionnel à celui de star aux revenus cumulés dépassant le million d’euros. Leur mission se généralise rapidement avec l’avènement annoncé de “l’internet des objets”, sortant le secteur de son statut de niche, selon des experts. “Il y a six ou huit ans, c’était considéré comme un truc tendance de la Silicon Valley”, témoigne Keren Elazari, experte en cybersécurité et “pirate éthique”.

Aujourd’hui, des programmes de “primes au bug” sont proposés par de multiples organismes, des grands – comme le Pentagone, les banques, les compagnies aériennes et autres géants de la technologie – mais aussi des milliers d’entreprises plus petites, raconte-t-elle lors d’une conférence organisée en Finlande par le numéro trois mondial des réseaux 5G, Nokia.

La plus grande plateforme pour les pirates amicaux, HackerOne, compte actuellement 800.000 membres. En 2020, ses clients ont déjà versé 44 millions de dollars (38,2 millions d’euros) de récompenses, un record.

Mais une aubaine “quand un seul ingénieur informatique à Londres vous coûte 80.000 euros par an”, dit à l’AFP Prash Somaiya, architecte des solutions de sécurité chez HackerOne.

– Activité lucrative –

Quand le monde numérique s’éloigne de plus en plus des seuls ordinateurs et téléphones, la société envoie de plus en plus régulièrement des jouets, thermostats ou encore voitures connectées à ses pirates pour qu’ils s’introduisent dans le système informatique des clients.

“Nous savons déjà, grâce à ce qui s’est passé ces cinq dernières années, que les criminels trouvent des moyens très intelligents d’utiliser les appareils numériques”, observe Keren Elazari.

En 2016, le logiciel malveillant Mirai a par exemple pris le contrôle de 300.000 appareils non sécurisés – dont des imprimantes et des webcams – utilisant la masse de leur données pour faire “tomber” plusieurs sites de médias, d’entreprises et de gouvernements.

En octobre, Nokia a annoncé avoir détecté une augmentation de 100% en un an des intrusions de logiciels malveillants sur les objets connectés.

Les récompenses pour les pirates informatiques peuvent être lucratives: 200 des “chasseurs de bugs” de HackerOne ont passé la barre des 100.000 dollars de primes depuis le début de leur activité dans le groupe, et neuf d’entre eux ont franchi le million. Apple, qui mène son propre programme, propose des primes maximales dépassant le million d’euros.

“L’incitation financière est bien sûr un facteur important, mais il y a aussi une mentalité de casseur, qui permet de comprendre comment les choses sont construites afin que l’on puisse les détruire et les mettre en pièces”, raconte Prash Somaiya.

– Effet Covid-19 –

L’intérêt des entreprises pour le télétravail, en pleine pandémie de Covid-19, a également conduit au bond (+59%) des inscriptions chez HackerOne avec une hausse d’un tiers des récompenses versées.

Les autorités françaises et britanniques notamment ont fait appel à des pirates éthiques pour leurs applications de traçage du coronavirus, selon M. Somaiya.

Si la 5G dispose de nouvelles fonctions de sécurité intégrées à l’infrastructure du réseau – ce qui n’était pas le cas jusqu’à présent -, cette technologie est beaucoup plus complexe que les précédentes, laissant plus de place à l’erreur humaine.

“Je vois beaucoup de risques de mauvaise configuration et de contrôles d’accès inappropriés”, avance Silke Holtmanns, experte en sécurité 5G chez le spécialiste AdaptiveMobile.

L’Union européenne, comme les gouvernements du monde entier, renforcent progressivement les exigences en cybersécurité et gonflent amendes et sanctions pour violation de données.

“Jusqu’à présent, les entreprises avaient du mal à motiver des investissements plus importants dans la sécurité”, selon Mme Holtmanns, qui conseille l’UE sur ces sujets.

Mais “s’ils peuvent dire +avec ce niveau de sécurité, nous pouvons attirer un plus grand nombre de clients ou réduire les primes d’assurance+, les gens commencent à réfléchir dans cette direction, ce qui est une bonne chose”, se réjouit l’experte.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content