À l’occasion de la conférence annuelle Kaspersky Next, des intervenants représentant Kaspersky Lab, l’université d’Oxford, CyberSecurity Capital, Titania, l’Electronic Frontier Foundation et le Commissariat serbe pour l’information se sont retrouvés à Barcelone afin de parler de l’avenir du secteur et des avancées technologiques. Les débats ont abordé des thèmes aussi divers que la place des femmes dans la cybersécurité, la protection de la vie privée ou l’évolution de cyberattaques industrielles.
Voici les huit enseignements à retenir de Kaspersky Next 2018 :
Les données volées ont plus d’un usage pour les cybercriminels
Les données volées n’ont qu’une valeur très limitée à la revente. Selon les estimations de David Jacoby de Kaspersky Lab, elles ne valent qu’une cinquantaine de dollars au marché noir. Alors pourquoi les comptes et identifiants demeurent-ils une cible si attractive pour les cybercriminels ? David Jacoby explique que le commerce de comptes volés est un moyen facile pour blanchir de l’argent pour des activités illicites encore plus sérieuses, telles que le trafic de drogue, d’êtres humains ou d’armes.
Les États commencent à utiliser des outils accessibles au public
Christian Funk de Kaspersky Lab a observé qu’afin d’éviter toute attribution, les acteurs malveillants commencent à utiliser des outils accessibles au public et destinés aux tests de pénétration, à l’administration des réseaux, ou tout simplement des scripts Windows Powershell. Il est alors impossible pour les chercheurs, chargés d’analyser les incidents et d’y répondre, de trouver des similitudes dans le code d’échantillons distincts, ce qui leur aurait généralement permis d’attribuer l’attaque à coup sûr.
En 2022, l’écart entre les professionnels compétents en cybersécurité et les postes non pourvus atteindra 1,8 million
Jane Frankland, auteure de l’ouvrage InSecurity, a expliqué comment la formation d’un personnel plus diversifié et le recrutement de collaborateurs aux compétences variées (communication, créativité, management) peuvent nous aider à prendre une longueur d’avance sur les cybercriminels en remettant en question les modes de pensée conventionnels. Elle rappelle à la profession que le simple fait d’interagir avec des personnes aux compétences différentes nous permet de mieux nous préparer, d’anticiper d’autres points de vue et de nous attendre à ce que l’obtention d’un consensus demande des efforts. Ilijana Vavan, Directrice générale de Kaspersky Lab Europe, a rejoint Jane Frankland sur scène pour parler de sa démarche visant à attirer un plus grand nombre de femmes dans les métiers de la cybersécurité et de l’initiative CyberStarts traduisant l’engagement de la société à diversifier les talents.
Des hacktivistes ont modifié par accident la composition chimique des réserves d’une compagnie des eaux
Dans son intervention sur l’évolution des attaques contre les systèmes de contrôle de processus industriels (ICS), Noushin Shabbab donne des exemples de piratages réussis sur ces systèmes, rappelant ainsi qu’il s’agit d’une menace bien réelle et déjà d’actualité. En 2016, en Suisse, une compagnie des eaux utilisant un serveur IBM des années 1980 a été piratée par un groupe qui est parvenu à modifier les réglages de l’application déterminant la composition chimique de l’eau, apparemment sans pour autant savoir très bien ce qu’il faisait.
La sécurité physique des patients conduit à négliger la sécurité informatique
Dans leur présentation consacrée au « marché de la mémoire », Dmitry Galov de Kaspersky Lab, le chercheur indépendant Denis Makrushin et Laurie Pycroft, de l’université d’Oxford, ont évoqué le dilemme auquel sont confrontés les développeurs d’implants médicaux dans le cerveau, qui deviennent de plus en plus élaborés et connectés. Étant donné que ce type d’implant doit pouvoir être commandé à distance par des médecins en cas d’urgence, il doit être équipé d’un « backdoor » logiciel (une sorte d’accès dérobé), d’où le risque d’une manipulation par des acteurs malveillants.
D’ci 30 ans, nos souvenirs pourraient être entièrement contrôlés par autrui
Dmitry Galov et Laurie Pycroft prévoient que, dans les années 2020, il sera possible d’enregistrer sous forme électronique les signaux cérébraux qui créent les souvenirs, puis de compléter voire de réécrire ces derniers et de les réimplanter dans le cerveau. Dans les années 2030, la première technologie commerciale de stimulation de la mémoire sera disponible et, dans les années 2040, elle pourra permettre de contrôler largement nos propres souvenirs ou ceux d’autres personnes.
Il existe un projet de convention internationale proscrivant l’utilisation d’armes autonomes
Nicola Whiting, de Titania, a exposé au public les bons et les mauvais côtés de l’intelligence artificielle. Elle a révélé l’adoption, par le Parlement européen, d’une résolution appelant à l’interdiction, au niveau international, des systèmes d’armes létales autonomes (SALA) au motif qu’ils « peuvent modifier radicalement la façon de faire la guerre […] et déclencher une course aux armements sans précédent » et incontrôlée, et que leur utilisation « pose des questions éthiques et juridiques essentielles quant au contrôle exercé par l’homme. »
3000 chercheurs actifs dans les domaines de l’intelligence artificielle et de la robotique, parmi lesquels 116 fondateurs d’entreprises de pointe dans ces deux domaines, ont influé sur cette résolution, en avertissant sur les dangers des SALA et en s’engageant à « ne jamais mettre au point, produire ou utiliser des systèmes d’armes létales autonomes. »
La protection de la vie privée n’est pas morte
Marco Preuss de Kaspersky Lab, Eva Galperin de l’Electronic Frontier Foundation et Nevena Ruzic du Commissariat serbe pour l’information ont abordé les réalités de la protection de la vie privée à l’ère moderne de la promiscuité des données. Quoique d’horizons divers et des points de vue différents sur le sujet, tous trois ont convenu qu’avec le RGPD, des outils tels que le nouveau Privacy Audit ou encore des sites comme haveibeenpwned.com, il est possible de vérifier où se trouvent vos données afin d’en reprendre le contrôle
Tekiano avec communiqué