•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Porté par la 5G, le piratage éthique entre dans son âge d'or

Quelqu'un tape sur un clavier d'ordinateur.

Des compagnies offrent des primes lucratives aux pirates éthiques qui s'infiltrent dans leurs appareils.

Photo : CBC

Agence France-Presse

Des centaines de millions d'objets connectés et autant de failles possibles pour du piratage s’invitent peu à peu dans nos maisons. Devant ce risque décuplé, de plus en plus d'entreprises s'offrent les services de pirates qui attaquent leurs systèmes pour en détecter les points faibles.

La mission de ces pros du piratage numérique se généralise rapidement avec l'avènement annoncé de l'Internet des objets, sortant le secteur de son statut de niche, selon des spécialistes.

Il y a six ou huit ans, c'était considéré comme un truc tendance de la Silicon Valley.

Keren Elazari, experte en cybersécurité et pirate éthique

Selon cette spécialiste, aujourd'hui, des programmes de primes au bogue sont proposés par de multiples organismes, des grands – comme le Pentagone, les banques, les compagnies aériennes et autres géants de la technologie –, mais aussi des milliers de petites entreprises.

La plus grande plateforme pour les pirates éthiques, HackerOne, compte quelque 800 000 membres. En 2020, sa clientèle a déjà versé 44 millions $ US (57,5 millions $ CA) de récompenses, un record.

Si ces primes semblent faramineuses, elles sont pourtant une aubaine pour les compagnies, selon Prash Somaiya, architecte des solutions de sécurité pour HackerOne, surtout quand un seul ingénieur informatique à Londres coûte 100 000 dollars américains (130 000 dollars canadiens) par an.

Plus le monde numérique s'étend, loin des simples ordinateurs et téléphones, plus la société envoie des jouets, thermostats ou encore engins connectés à ses pirates pour que ces spécialistes s'introduisent dans le système informatique de la clientèle.

Nous savons déjà, grâce à ce qui s'est passé ces cinq dernières années, que les personnes qui commettent des crimes trouvent des moyens très intelligents d'utiliser les appareils numériques.

Keren Elazari

En 2016, le logiciel malveillant Mirai a par exemple pris le contrôle de quelque 300 000 appareils non sécurisés – dont des imprimantes et des caméras – utilisant la masse de leurs données pour infiltrer plusieurs sites de médias, d'entreprises et de gouvernements.

En octobre, Nokia a annoncé avoir détecté une augmentation de 100 % en un an des intrusions de logiciels malveillants sur les objets connectés.

Des récompenses lucratives

Les récompenses pour les pirates informatiques peuvent être lucratives : 200 des chasseurs et chasseuses de bogues de HackerOne ont passé la barre des 100 000 dollars américains (130 000 dollars canadiens) de primes depuis le début de leur activité dans le groupe, et 9 ont franchi le million. Apple, qui mène son propre programme, propose des primes maximales de 1,5 million de dollars canadiens.

L'incitation financière est bien sûr un facteur important, mais il y a aussi une mentalité de casse, qui permet de comprendre comment les choses sont construites afin que l'on puisse les détruire et les mettre en pièces.

Prash Somaiya

L'intérêt des entreprises pour le télétravail, en pleine pandémie de COVID-19, a également conduit au bond (+59 %) des inscriptions à HackerOne avec une hausse d'un tiers des récompenses versées.

Les autorités françaises et britanniques ont notamment fait appel à des pirates éthiques pour leurs applications de traçage du coronavirus, selon M. Somaiya.

Des défis autour de la 5G

Si la 5G dispose de nouvelles fonctions de sécurité intégrées à l'infrastructure du réseau – ce qui n'était pas le cas jusqu'à présent –, cette technologie est beaucoup plus complexe que les précédentes, laissant plus de place à l'erreur humaine.

Je vois beaucoup de risques de mauvaise configuration et de contrôles d'accès inappropriés.

Silke Holtmanns, experte en sécurité 5G chez le spécialiste AdaptiveMobile

Les gouvernements du monde entier renforcent progressivement les exigences en cybersécurité et gonflent les amendes et les sanctions pour violation de données.

Jusqu'à présent, les entreprises avaient du mal à motiver des investissements plus importants dans la sécurité, indique Mme Holtmanns, qui conseille l'Union européenne sur ces sujets.

Mais si elles peuvent se dire : "Avec ce niveau de sécurité, nous pouvons attirer un plus grand nombre de personnes ou réduire les primes d'assurance", c’est que les gens commencent à réfléchir dans cette direction, ce qui est une bonne chose, se réjouit l'experte.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !