Lors de son discours d’ouverture à la conférence Black Hat, Alex Stamos, directeur de la sécurité chez Facebook, a parlé de prévention des dégâts et d’acception de faire des compromis – deux choses que tous les experts en sécurité devraient être capables de faire. Le CSO de Facebook sait de quoi il parle : son équipe protège un système informatique très complexe et les données de 2 milliards d’utilisateurs.
Selon Stamos, le secteur de la sécurité souffre de plusieurs problèmes adolescents, le principaux étant son nihilisme. Cela signifie que les spécialistes préfèrent se concentrer sur des problèmes de sécurité et des vulnérabilités techniquement complexes et » superflus » plutôt que sur ceux qui causent de réels dégâts et mettent en danger un grand nombre de personnes. Ces spécialistes ont aussi tendance à ne pas accepter les compromis et à faire de la sécurité de l’information leur priorité principale en supposant que tout le monde sera victime des pires attaques commises par les menaces les plus dangereuses.
L’un des exemples les plus remarquables donnés par Stamos fut celui de la » backdoor » WhatsApp qui n’était en fait pas une backdoor. Pour rendre le chiffrement sécurisé disponible aux 1 milliard d’utilisateurs de WhatsApp, l’équipe de développement a pris la décision raisonnable d’informer les participants d’une conversation qu’ils avaient reçu une nouvelle clé de chiffrement. Une notification supplémentaire apparaissait alors dans la conversation sans que ses participants n’aient à faire quoique ce soit pour poursuivre leur conversation.
Les nihilistes de la sécurité de l’information ont pensé qu’il s’agissait d’une backdoor créée par des services spéciaux afin de pouvoir attaquer la conversation et accéder à son historique. Néanmoins, son objectif est en fait tout le contraire : ce procédé permettait aux utilisateurs de continuer leur conversation après que l’un des interlocuteurs ait changé de mobile ou réinstallé WhatsApp.
L’exemple de WhatsApp illustre cette conception nihiliste : penser que tous les utilisateurs doivent étudier le système de chiffrement et comparer les clés de chiffrement entre les participants d’une même conversation et que tous les utilisateurs seront surveillés de près par des services spéciaux qui attaqueront certainement leur trafic Internet avec une attaque complexe de type homme du milieu. La paranoïa atteint des sommets.
L’attention portée aux attaques les plus complexes et aux mesures de sécurité les plus laborieuses distrait les spécialistes des problèmes qui causent de réels dégâts. Stamos a présenté un diagramme de la » pyramide des menaces « , avec à son sommet, un point à peine visible qui représentait les vulnérabilités zero-day et les attaques complexes sponsorisées par des États. Le reste de la pyramide est occupé par des problèmes » courants » liés aux mots de passe, au vol de données personnelles (y compris de données bancaires), à l’hameçonnage, aux menaces financières et à l’ingénierie sociale.
Stamos recommande de ne pas avoir peur de faire des concessions pour résoudre ces problèmes. Si une solution n’est pas parfaite ou qu’elle n’est que partiellement efficace mais que 10 fois plus de gens l’utiliseront, alors elle est bien mieux qu’une solution qui ne protègera que les utilisateurs les plus avancés, laissant les autres complètement sans défense.
Les grands esprits se rencontrent et c’est pourquoi chez Kaspersky Lab nous suivons ces recommandations depuis longtemps. Grâce à l’annonce récente du lancement de Kaspersky Free, notre antivirus gratuit, une protection de haute qualité contre l’hameçonnage, les chevaux de Troie bancaires et bien d’autres menaces » inintéressantes » est désormais disponible à tous ceux qui disposent d’un ordinateur. De plus, Kaspersky Internet Security for Android, qui est également gratuit, protègera les milliards d’utilisateurs qui s’ajouteront à la population Internet au cours de la prochaine décennie et qui utiliseront principalement des appareils mobiles.