Cybersécurité 2021 : Prédictions de hackers de la communauté HackerOne

0
118

Si les hackers éthiques sont des talents d’origines diverses, ils ont un objectif commun : rendre Internet plus sûr. Depuis les débuts de la sécurité collaborative, 2020 aura sans doute été l’année la plus marquante.

Tribune HackerOne – Les menaces se sont clairement intensifiées en même temps que la pandémie bouleversait toutes les économies. Une étape clé a également été franchie cette année, puisque les hackers de la communauté HackerOne ont remporté plus de 100 millions de dollars en primes pour leur travail de recherche de failles de sécurité dans les logiciels d’organisations du monde entier. 

Le hacking éthique continue de se renforcer à mesure que la perception qu’ont les entreprises des hackers évolue. La pratique connaît aujourd’hui un point de bascule puisque les interventions des hackers éthiques sont désormais reconnues pour leurs effets positifs. Si la tendance continue de se prononcer, d’ici 2025 l’exception sera d’avoir une perception négative des hackers. L’évolution des législations à travers le monde est notamment un facteur clé du développement de la sécurité collaborative. 

La pandémie de COVID-19 a également joué un rôle majeur cette année dans l’évolution des pratiques, et elle devrait continuer d’avoir un impact dans les années à venir. Voici ce que des hackers de la communauté HackerOne, ainsi que son PDG Marten Mickos tirent comme leçons et prédisent pour l’avenir en matière de cybersécurité :

  • Sur la pandémie de COVID-19

Le hacker australien Shubham Shah, alias @notnaffy, a remarqué que l’augmentation du temps libre due à la pandémie a permis aux hackers de se mobiliser en équipes afin de détecter des vulnérabilités critiques : 

“Suite à l’immobilisation qui a frappé le monde, j’ai été plus souvent amené à collaborer virtuellement avec d’autres hackers dans le cadre de programmes de bug bounty afin de détecter des vulnérabilités toujours plus critiques. Deux variables sont à prendre en compte lorsqu’on élabore une stratégie de cybersécurité: le temps et les ressources. Et en raison des événements récents, les hackers éthiques ont beaucoup plus de temps pour tenter d’infiltrer les systèmes de sécurité, ce qui signifie plus de chance de détecter une vulnérabilité avant qu’elle ne puisse être exploitée”.

Le hacker singapourien Samuel Eng alias @Samengmg confirme que les hackers ont été très occupés ces derniers mois :

“En raison de la pandémie de COVID-19, j’ai vu un afflux de hackers s’emparer de bug bounty dans divers programmes. J’ai remarqué que de nombreux programmes se sont très rapidement renforcés au début de la pandémie, avec notamment les types de vulnérabilité communes comme XSS, les injections SQL et les contournements d’authentification de base”. 

  • Sur ce qu’il faut attendre en 2021 en matière de cyber-sécurité 

Préoccupé par l’impact de la pandémie de COVID-19 sur la sécurité notamment avec les entreprises et les écoles qui ont dû accélérer leur transformation numérique, le hacker allemand Julien Ahrens alias @MrTuxracer, se demande : 

“La pandémie de COVID-19 a forcé les entreprises à accélérer leur transformation numérique d’une manière inattendue. Je pense que cette situation va accentuer le risque de cyber-menace, notamment pour ceux qui n’auraient pas bien verrouillé cette intensification des pratiques numériques. En outre, il est particulièrement frappant de voir  la vitesse à laquelle les institutions gouvernementales et les écoles ont su s’adapter. Alors qu’il n’était pas prédominant avant la pandémie, l’enseignement à distance est de facto devenu la norme au sein de presque toutes les écoles. Mais comme beaucoup ont dû le faire en peu de temps et avec peu de moyens, cela ne préfigure pas d’une sécurité sans faille. Et je ne fais pas uniquement allusion aux failles techniques, mais à tout l’aspect autour de la sensibilisation des utilisateurs à la sécurité qui est essentielle”.

  • Au sujet de méthodes d’attaque innovantes en 2021  

James Kettle alias @albinowax du Royaume-Uni voit déjà de nouvelles méthodes d’attaque se dessiner pour 2021. Il avertit sur le fait que “les attaques classiques étant désormais détectées de manière automatisée, je pense qu’une des futures tendances sera de voir les cybercriminels tenter des approches nouvelles, plus subtiles et encore inconnues – s’appuyant par exemple sur une faille dans un processus commercial, jouant sur un timing particulier ou reposant sur des techniques d’attaque encore plus complexes. Nous verrons ainsi de plus en plus d’acteurs tirer profit des disparités existantes entre les applications multiserveurs, par le biais d’attaques dites de dissimulation de requêtes, de pollution de paramètres HTTP et des exploits de normalisation de chemin URL”.

L’ingénierie sociale restera par ailleurs un enjeu majeur pour 2021 explique le hacker allemand Julien Ahrens :

“Il faut s’attendre à ce que tous les types d’attaques augmentent en 2021 car de plus en plus d’entreprises prennent le tournant du numérique. Il y a cependant un type d’attaque qui, je pense, connaîtra un boom exponentiel : l’ingénierie sociale. Je pense que les attaques d’ingénierie sociale à l’encontre de personnes pas suffisamment protégées et sensibilisées augmenteront massivement car les entreprises n’auront pas eu le temps d’informer suffisamment leurs employés sur ce type de menace”.

  • Sur l’extension de la surface d’attaque due à la transformation numérique

Marten Mickos PDG de HackerOne prédit qu’il ne restera que très peu d’entreprises non numériques d’ici la fin de 2021. Beaucoup d’entre-elles commencent tout juste à se numériser, beaucoup optent pour une migration vers le cloud, sans compter le nombre croissant d’entreprises juste nées dans le cloud.

“En réalité tout se passe comme au passage à l’an 2000,  il a fallu mettre à jour l’ensemble des systèmes informatiques du jour au lendemain. Le même scénario s’impose avec la pandémie de COVID-19 notamment avec toutes les transformations numériques enclenchées de manière précipitée. La moitié des entreprises seront complètement transformées par les nouvelles exigences du numérique. Je pense que les services financiers seront les plus touchés, mais il sera particulièrement intéressant de voir comment des entreprises comme celles du retail, les restaurants et les coiffeurs s’adapteront aux exigences d’une vie plus numérique. La transformation sera probablement plus lente au sein de certaines institutions gouvernementales, qui ont besoin de plus de temps pour prendre le virage du numérique. L’Estonie peut d’ailleurs être vu comme un exemple de transformation réussie dans le secteur public, avec des fonctions gouvernementales entièrement numériques, et où de nombreux services comme le vote et les paiements se font en ligne”. 

La hacker Australien, Shubham Shah ajoute :

“En attendant que les entreprises se remettent de cette pandémie et que l’économie se reconstruise, j’envisage une hausse du développement et du déploiement d’applications. Les réseaux seront mis à rude épreuve et cette croissance sera difficile à gérer du point de vue de la sécurité car le défi principal consistera à gérer une surface d’attaque élargie.”  

Alors que les entreprises tendent de plus en plus vers le “cloud first”, et que la migration vers le cloud se poursuit, Shubham s’attend à voir les entreprises adopter des technologies plus récentes, telles que Kubernetes, afin d’orchestrer le déploiement d’applications et de services critiques. Cependant il est important de noter, “qu’avec l’adoption de nouvelles technologies et méthodes, il y a généralement des erreurs de configuration et des faux pas en cours de route pouvant conduire à des vulnérabilités”

  • A propos de la cybersécurité dans les institutions gouvernementales

Parmi les annonces qui ont particulièrement marqué 2020 et qui vont donner encore plus de poids à la sécurité collaborative, Marten Mickos, PDG de HackerOne souligne qu’une nouvelle loi aux États-Unis a rendu obligatoire la mise en œuvre d’un programme public de divulgation de vulnérabilités (VDP) pour chaque agence fédérale (directive opérationnelle BOD 20-01). La publication d’un programme de VDP permettra aux utilisateurs de signaler plus facilement les vulnérabilités une fois détectées au sein des systèmes en ligne du gouvernement fédéral. Cette législation cruciale permet aux institutions gouvernementales d’obtenir des retours d’expérience en matière de sécurité de tiers, ce qui leur permettra in fine de mieux cerner et corriger leurs points faibles.

Il n’est pas exclu que d’autres gouvernements suivent l’exemple des États-Unis. Marten prédit que le Royaume-Uni sera le prochain pays à faire pression pour rendre obligatoire l’utilisation de VDP pour l’IoT grand public. Marten prévoit que d’autres gouvernements techniquement avancés sont également sur la bonne voie comme Singapour et les Pays-Bas. De nombreuses villes néerlandaises possèdent déjà des VDP au sein de leurs organisations gouvernementales locales. La région DACH, bien que conservatrice, accorde une grande priorité à la sécurité de ses citoyens. Tout récemment, les forces armées allemandes ont dévoilé leur propre programme de bug bounty et le gouvernement suisse a déjà introduit un VDP pour sa technologie de vote. La France en revanche, soutenue par les efforts de l’agence nationale ANSSI, sera-t-elle bientôt prête à leur emboîter le pas ?

Aux États-Unis, la sécurité des élections a été une priorité pour le chercheur en cybersécurité (et hacker) Jack Cable, alias @CableJ. Les entreprises et les gouvernements ont en effet adopté des mesures pour engager des hackers éthiques. Les secrétaires d’État de l’Ohio et de l’Iowa ont tous deux lancé des politiques de divulgation des vulnérabilités, et ils sont les premiers à initier des campagnes de recherches sur la sécurité de leurs systèmes électoraux publics. Les principaux sous-traitants des systèmes de votes américains ont eux aussi adopté des politiques de divulgation des vulnérabilités, un réel premier pas qui permet de réconcilier les institutions publiques avec la communauté de hackers éthiques.

Toutes ces mesures sont fondamentales pour le devenir de la sécurité collaborative à travers le monde. En 2021, les hackers éthiques joueront un rôle de plus en plus important dans la sécurisation de nos systèmes institutionnels et électoraux. “Les institutions publiques et l’industrie ont bien pris conscience qu’il est nécessaire d’instaurer des normes de sécurité publiques pour rendre Internet plus sûr”.