Lorsque les "chapeaux noirs" - qui sont les aides-soignants de la forêt sauvage du cyberespace - s'avèrent particulièrement réussis dans leur sale boulot, les médias jaunes hurlent de joie. En conséquence, le monde commence à s’intéresser plus sérieusement à la cybersécurité. Mais malheureusement pas tout de suite. Par conséquent, malgré le nombre croissant de cyberincidents catastrophiques, le monde n’est pas encore mûr pour des mesures proactives actives. Cependant, on s’attend à ce que dans un avenir proche, grâce aux « chapeaux noirs », le monde commence à prendre la cybersécurité au sérieux. [7]

Aussi grave que les incendies... Les villes étaient autrefois très vulnérables aux incendies catastrophiques. Cependant, malgré le danger potentiel, aucune mesure de protection proactive n'a été prise, même après l'incendie géant de Chicago en 1871, qui a coûté la vie à des centaines de personnes et déplacé des centaines de milliers de personnes. Des mesures de protection proactives n’ont été prises qu’après qu’une catastrophe similaire se soit reproduite, trois ans plus tard. C'est la même chose avec la cybersécurité : le monde ne résoudra pas ce problème à moins d'incidents catastrophiques. Mais même si de tels incidents se produisaient, le monde ne résoudrait pas ce problème immédiatement. [7] Par conséquent, même le dicton : « Jusqu’à ce qu’un bug survienne, un homme ne sera pas corrigé » ne fonctionne pas vraiment. C'est pourquoi, en 2018, nous avons célébré 30 ans d'insécurité généralisée.

digression

Le début de cet article, que j’avais initialement écrit pour le magazine System Administrator, s’est avéré prophétique dans un sens. Numéro d'un magazine avec cet article dehors littéralement jour après jour avec l'incendie tragique du centre commercial « Winter Cherry » de Kemerovo (2018 mars 20).

Installer Internet en 30 minutes

En 1988, le légendaire hacker galaxy L0pht, s'exprimant en force devant une réunion des responsables occidentaux les plus influents, déclarait : « Votre équipement informatique est vulnérable aux cyberattaques provenant d'Internet. Et les logiciels, le matériel et les télécommunications. Leurs vendeurs ne se soucient pas du tout de cet état de fait. Parce que la législation moderne ne prévoit aucune responsabilité en cas de négligence dans la garantie de la cybersécurité des logiciels et du matériel fabriqués. La responsabilité des pannes potentielles (qu'elles soient spontanées ou provoquées par l'intervention de cybercriminels) incombe uniquement à l'utilisateur de l'équipement. Quant au gouvernement fédéral, il n’a ni les compétences ni la volonté de résoudre ce problème. Par conséquent, si vous recherchez la cybersécurité, Internet n’est pas l’endroit idéal pour la trouver. Chacune des sept personnes assises devant vous peut complètement briser Internet et, par conséquent, prendre le contrôle total des équipements qui y sont connectés. Par soi-même. 30 minutes de frappes chorégraphiées et c’est fait. [7]

Les fonctionnaires ont hoché la tête de manière significative, indiquant clairement qu'ils comprenaient la gravité de la situation, mais n'ont rien fait. Aujourd'hui, exactement 30 ans après la performance légendaire de L0pht, le monde est toujours en proie à une « insécurité rampante ». Pirater des équipements informatisés connectés à Internet est si simple qu'Internet, initialement royaume de scientifiques idéalistes et de passionnés, a progressivement été occupé par les professionnels les plus pragmatiques : escrocs, escrocs, espions, terroristes. Tous exploitent les vulnérabilités des équipements informatisés pour obtenir des avantages financiers ou autres. [7]

Les fournisseurs négligent la cybersécurité

Bien entendu, les fournisseurs tentent parfois de corriger certaines des vulnérabilités identifiées, mais ils le font avec beaucoup de réticence. Parce que leur profit ne vient pas de la protection contre les pirates informatiques, mais des nouvelles fonctionnalités qu'ils offrent aux consommateurs. Se concentrant uniquement sur les profits à court terme, les vendeurs investissent de l’argent uniquement dans la résolution de problèmes réels et non hypothétiques. La cybersécurité, aux yeux de beaucoup d’entre eux, est une chose hypothétique. [7]

La cybersécurité est une chose invisible et intangible. Cela ne devient tangible que lorsque des problèmes surviennent. S'ils en ont bien pris soin (ils ont dépensé beaucoup d'argent pour sa fourniture) et qu'il ne pose aucun problème, le consommateur final ne voudra pas payer trop cher pour cela. De plus, en plus d'augmenter les coûts financiers, la mise en œuvre de mesures de protection nécessite un temps de développement supplémentaire, nécessite de limiter les capacités de l'équipement et entraîne une diminution de sa productivité. [8]

Il est difficile de convaincre même nos propres spécialistes du marketing de la faisabilité des coûts indiqués, sans parler des consommateurs finaux. Et comme les vendeurs modernes ne s’intéressent qu’aux bénéfices de ventes à court terme, ils ne sont pas du tout enclins à assumer la responsabilité d’assurer la cybersécurité de leurs créations. [1] D'un autre côté, les fournisseurs plus prudents qui ont pris soin de la cybersécurité de leurs équipements sont confrontés au fait que les entreprises clientes préfèrent des alternatives moins chères et plus faciles à utiliser. Que. Il est évident que les entreprises ne se soucient pas non plus beaucoup de la cybersécurité. [8]

À la lumière de ce qui précède, il n’est pas surprenant que les fournisseurs aient tendance à négliger la cybersécurité et à adhérer à la philosophie suivante : « Continuez à construire, continuez à vendre et appliquez des correctifs si nécessaire. Le système est-il tombé en panne ? Informations perdues ? Base de données contenant des numéros de cartes de crédit volée ? Des vulnérabilités fatales ont-elles été identifiées dans votre équipement ? Aucun problème!" Les consommateurs, à leur tour, doivent suivre le principe : « Corrigez et priez ». [7]

Comment cela se produit : exemples tirés de la nature

Un exemple frappant de négligence de la cybersécurité lors du développement est le programme d’incitation des entreprises de Microsoft : « Si vous ne respectez pas les délais, vous serez condamné à une amende. Si vous n’avez pas le temps de soumettre à temps la sortie de votre innovation, elle ne sera pas mise en œuvre. S’il n’est pas mis en œuvre, vous ne recevrez pas d’actions de l’entreprise (une part du gâteau provenant des bénéfices de Microsoft).» Depuis 1993, Microsoft a commencé à relier activement ses produits à Internet. Étant donné que cette initiative fonctionnait conformément au même programme de motivation, la fonctionnalité s’est développée plus rapidement que la défense n’a pu la suivre. Pour le plus grand plaisir des chasseurs de vulnérabilités pragmatiques… [7]

Un autre exemple est la situation des ordinateurs et des ordinateurs portables : ils ne sont pas livrés avec un antivirus préinstallé ; et ils ne prévoient pas non plus le préréglage de mots de passe forts. On suppose que l'utilisateur final installera l'antivirus et définira les paramètres de configuration de sécurité. [1]

Autre exemple, plus extrême : la situation de la cybersécurité des équipements du commerce de détail (caisses enregistreuses, terminaux PoS pour centres commerciaux, etc.). Il se trouve que les vendeurs d'équipements commerciaux ne vendent que ce qui est vendu et non ce qui est sûr. [2] S'il y a une chose qui intéresse les fournisseurs d'équipements commerciaux en termes de cybersécurité, c'est de s'assurer qu'en cas d'incident controversé, la responsabilité incombe à d'autres. [3]

Un exemple indicatif de cette évolution des événements : la vulgarisation de la norme EMV pour les cartes bancaires, qui, grâce au travail compétent des marketeurs bancaires, apparaît aux yeux d'un public peu averti techniquement comme une alternative plus sûre au « dépassé » cartes magnétiques. Dans le même temps, la principale motivation du secteur bancaire, responsable du développement de la norme EMV, était de transférer la responsabilité des incidents frauduleux (survenant du fait de la faute des cardeurs) - des magasins aux consommateurs. Alors qu'auparavant (lorsque les paiements étaient effectués par carte magnétique), la responsabilité financière incombait aux magasins en cas d'écart débit/crédit. [3] Ainsi les banques qui traitent les paiements transfèrent la responsabilité soit aux commerçants (qui utilisent leurs systèmes bancaires à distance), soit aux banques qui émettent des cartes de paiement ; ces deux derniers, à leur tour, transfèrent la responsabilité au titulaire de la carte. [2]

Les fournisseurs entravent la cybersécurité

À mesure que la surface d'attaque numérique s'étend inexorablement, du fait de l'explosion des appareils connectés à Internet, il devient de plus en plus difficile de suivre ce qui est connecté au réseau de l'entreprise. Dans le même temps, les fournisseurs déplacent les préoccupations concernant la sécurité de tous les équipements connectés à Internet vers l’utilisateur final [1] : « Le sauvetage des personnes qui se noient est l’œuvre des personnes qui se noient elles-mêmes. »

Non seulement les vendeurs ne se soucient pas de la cybersécurité de leurs créations, mais dans certains cas, ils interfèrent également avec sa fourniture. Par exemple, lorsqu'en 2009 le ver de réseau Conficker s'est infiltré dans le centre médical Beth Israel et a infecté une partie de l'équipement médical, le directeur technique de ce centre médical, afin d'éviter que des incidents similaires ne se reproduisent à l'avenir, a décidé de désactiver le fonction d'assistance au fonctionnement sur l'équipement affecté par le ver avec le réseau. Cependant, il a été confronté au fait que "les équipements n'ont pas pu être mis à jour en raison de restrictions réglementaires". Il lui a fallu des efforts considérables pour négocier avec le fournisseur afin de désactiver les fonctions réseau. [4]

Cyber-insécurité fondamentale d’Internet

David Clarke, le légendaire professeur du MIT dont le génie lui a valu le surnom d'« Albus Dumbledore », se souvient du jour où le côté obscur d'Internet a été révélé au monde. Clark présidait une conférence sur les télécommunications en novembre 1988 lorsque la nouvelle éclata selon laquelle le premier ver informatique de l'histoire s'était glissé dans les câbles du réseau. Clark s'est souvenu de ce moment car l'orateur présent à sa conférence (un employé de l'une des principales sociétés de télécommunications) était tenu pour responsable de la propagation de ce ver. Cet intervenant, dans le feu de l’émotion, a dit par inadvertance : « Et voilà ! Il me semble avoir fermé cette vulnérabilité », a-t-il payé pour ces mots. [5]

Cependant, il s’est avéré plus tard que la vulnérabilité par laquelle le ver mentionné s’est propagé n’était pas le mérite d’une personne individuelle. Et cela, à proprement parler, n'était même pas une vulnérabilité, mais une caractéristique fondamentale d'Internet : les fondateurs d'Internet, lors du développement de leur idée, se sont concentrés exclusivement sur la vitesse de transfert des données et la tolérance aux pannes. Ils ne se sont pas donné pour mission d'assurer la cybersécurité. [5]

Aujourd’hui, des décennies après la création d’Internet – avec des centaines de milliards de dollars déjà dépensés en vaines tentatives de cybersécurité – Internet n’est pas moins vulnérable. Ses problèmes de cybersécurité ne font qu’empirer chaque année. Mais a-t-on le droit de condamner pour cela les fondateurs d’Internet ? Après tout, par exemple, personne ne condamnera les constructeurs d'autoroutes pour le fait que des accidents se produisent sur « leurs routes » ; et personne ne condamnera les urbanistes pour le fait que des vols se produisent dans « leurs villes ». [5]

Comment est née la sous-culture hacker

La sous-culture hacker est née au début des années 1960, au sein du « Railway Technical Modeling Club » (opérant dans les murs du Massachusetts Institute of Technology). Les passionnés du club ont conçu et assemblé un chemin de fer miniature, si énorme qu'il remplissait toute la pièce. Les membres du club se sont spontanément divisés en deux groupes : les artisans de la paix et les spécialistes du système. [6]

Le premier a travaillé avec la partie aérienne du modèle, le second avec la partie souterraine. Les premiers collectionnaient et décoraient des maquettes de trains et de villes : ils modélisaient le monde entier en miniature. Ce dernier a travaillé sur le support technique de tout ce rétablissement de la paix : un enchevêtrement de fils, de relais et d'interrupteurs de coordonnées situés dans la partie souterraine de la maquette - tout ce qui contrôlait la partie « aérienne » et l'alimentait en énergie. [6]

Lorsqu’il y avait un problème de circulation et que quelqu’un trouvait une solution nouvelle et ingénieuse pour le résoudre, la solution était appelée « hack ». Pour les membres du club, la recherche de nouvelles astuces est devenue un sens intrinsèque de la vie. C'est pourquoi ils ont commencé à se qualifier de « hackers ». [6]

La première génération de hackers a mis en œuvre les compétences acquises au Simulation Railway Club en écrivant des programmes informatiques sur des cartes perforées. Puis, lorsque l’ARPANET (le prédécesseur d’Internet) est arrivé sur le campus en 1969, les pirates sont devenus ses utilisateurs les plus actifs et les plus compétents. [6]

Aujourd’hui, des décennies plus tard, l’Internet moderne ressemble à la partie très « souterraine » du chemin de fer miniature. Car ses fondateurs étaient ces mêmes hackers, étudiants du « Railroad Simulation Club ». Seuls les hackers exploitent désormais de vraies villes au lieu de miniatures simulées. [6]

Comment est né le routage BGP

À la fin des années 80, à la suite d’une augmentation en avalanche du nombre d’appareils connectés à Internet, Internet s’est approché de la limite mathématique stricte inhérente à l’un des protocoles Internet de base. Par conséquent, toute conversation entre les ingénieurs de l’époque s’est finalement transformée en une discussion sur ce problème. Deux amis ne faisaient pas exception : Jacob Rechter (ingénieur chez IBM) et Kirk Lockheed (fondateur de Cisco). S'étant rencontrés par hasard à table, ils ont commencé à discuter des mesures visant à préserver la fonctionnalité d'Internet. Les amis ont noté les idées qui surgissaient sur tout ce qui leur tombait sous la main - une serviette tachée de ketchup. Puis le deuxième. Puis le troisième. Le « protocole des trois serviettes », comme l’appelaient en plaisantant ses inventeurs – connu dans les cercles officiels sous le nom de BGP (Border Gateway Protocol) – a rapidement révolutionné Internet. [8]

Pour Rechter et Lockheed, BGP n'était qu'un hack occasionnel, développé dans l'esprit du Model Railroad Club susmentionné, une solution temporaire qui serait bientôt remplacée. Les copains ont développé BGP en 1989. Aujourd’hui, cependant, 30 ans plus tard, la majorité du trafic Internet est toujours acheminée via le « protocole à trois serviettes » – malgré les appels de plus en plus alarmants concernant les problèmes critiques liés à la cybersécurité. Le piratage temporaire est devenu l’un des protocoles Internet de base, et ses développeurs ont appris de leur propre expérience qu’« il n’y a rien de plus permanent que des solutions temporaires ». [8]

Les réseaux du monde entier sont passés au BGP. Les fournisseurs influents, les clients fortunés et les entreprises de télécommunications sont rapidement tombés amoureux de BGP et s'y sont habitués. Ainsi, malgré les sonnettes d'alarme de plus en plus nombreuses concernant l'insécurité de ce protocole, le public informatique ne montre toujours pas d'enthousiasme pour la transition vers de nouveaux équipements plus sécurisés. [8]

Routage BGP cyber-non sécurisé

Pourquoi le routage BGP est-il si bon et pourquoi la communauté informatique n'est-elle pas pressée de l'abandonner ? BGP aide les routeurs à décider où acheminer les énormes flux de données envoyés à travers un vaste réseau de lignes de communication qui se croisent. BGP aide les routeurs à choisir les chemins appropriés, même si le réseau est en constante évolution et que les itinéraires populaires connaissent souvent des embouteillages. Le problème est qu’Internet ne dispose pas de carte de routage globale. Les routeurs utilisant BGP prennent des décisions quant au choix d'un chemin ou d'un autre en fonction des informations reçues des voisins dans le cyberespace, qui à leur tour collectent des informations auprès de leurs voisins, etc. Cependant, ces informations peuvent être facilement falsifiées, ce qui signifie que le routage BGP est très vulnérable aux attaques MiTM. [8]

Par conséquent, des questions telles que celles-ci se posent régulièrement : « Pourquoi le trafic entre deux ordinateurs à Denver a-t-il fait un détour géant par l'Islande ? », « Pourquoi des données classifiées du Pentagone ont-elles été transférées une fois en transit via Pékin ? » Il existe des réponses techniques à de telles questions, mais elles se résument toutes au fait que BGP fonctionne sur la base de la confiance : la confiance dans les recommandations reçues des routeurs voisins. Grâce à la nature de confiance du protocole BGP, de mystérieux seigneurs du trafic peuvent attirer les flux de données d'autres personnes dans leur domaine s'ils le souhaitent. [8]

L’attaque chinoise du Pentagone américain par le BGP en est un exemple vivant. En avril 2010, le géant public des télécommunications China Telecom a envoyé à des dizaines de milliers de routeurs à travers le monde, dont 16 8 aux États-Unis, un message BGP leur indiquant qu'ils disposaient de meilleurs itinéraires. Sans système capable de vérifier la validité d'un message BGP provenant de China Telecom, les routeurs du monde entier ont commencé à envoyer des données en transit via Pékin. Y compris le trafic du Pentagone et d'autres sites du département américain de la Défense. La facilité avec laquelle le trafic était redirigé et l'absence de protection efficace contre ce type d'attaque sont un autre signe de l'insécurité du routage BGP. [XNUMX]

Le protocole BGP est théoriquement vulnérable à une cyberattaque encore plus dangereuse. Dans le cas où des conflits internationaux s'intensifieraient dans le cyberespace, China Telecom, ou un autre géant des télécommunications, pourrait tenter de revendiquer la propriété de parties d'Internet qui ne lui appartiennent pas réellement. Une telle décision perturberait les routeurs, qui devraient rebondir entre des offres concurrentes pour les mêmes blocs d'adresses Internet. Sans la capacité de distinguer une application légitime d’une fausse application, les routeurs commenceraient à agir de manière erratique. En conséquence, nous serions confrontés à l’équivalent sur Internet d’une guerre nucléaire : une démonstration ouverte et à grande échelle d’hostilité. Une telle évolution en période de paix relative semble irréaliste, mais techniquement elle est tout à fait réalisable. [8]

Une vaine tentative de passer de BGP à BGPSEC

La cybersécurité n’a pas été prise en compte lors du développement de BGP, car à cette époque les piratages étaient rares et leurs dégâts négligeables. Les développeurs de BGP, parce qu'ils travaillaient pour des entreprises de télécommunications et étaient intéressés à vendre leurs équipements de réseau, avaient une tâche plus urgente : éviter les pannes spontanées d'Internet. Parce que les interruptions d'Internet pourraient aliéner les utilisateurs, et ainsi réduire les ventes d'équipements réseau. [8]

Après l'incident survenu lors du transfert du trafic militaire américain via Pékin en avril 2010, le rythme des travaux visant à assurer la cybersécurité du routage BGP s'est certainement accéléré. Cependant, les fournisseurs de télécommunications se sont montrés peu enthousiastes à l'idée de supporter les coûts associés à la migration vers le nouveau protocole de routage sécurisé BGPSEC, proposé pour remplacer le BGP non sécurisé. Les fournisseurs considèrent toujours le BGP comme tout à fait acceptable, même malgré d'innombrables incidents d'interception de trafic. [8]

Radia Perlman, surnommée la « Mère de l'Internet » pour avoir inventé un autre protocole réseau majeur en 1988 (un an avant BGP), a obtenu une thèse de doctorat prophétique au MIT. Perlman a prédit qu'un protocole de routage qui dépend de l'honnêteté des voisins dans le cyberespace est fondamentalement peu sûr. Perlman a préconisé l'utilisation de la cryptographie, qui contribuerait à limiter les risques de contrefaçon. Cependant, la mise en œuvre de BGP battait déjà son plein, la communauté informatique influente y était habituée et ne voulait rien changer. Par conséquent, après les avertissements raisonnés de Perlman, Clark et d’autres experts mondiaux de premier plan, la part relative du routage BGP cryptographiquement sécurisé n’a pas augmenté du tout et est toujours de 0 %. [8]

Le routage BGP n'est pas le seul hack

Et le routage BGP n’est pas le seul hack qui confirme l’idée selon laquelle « rien n’est plus permanent que des solutions temporaires ». Parfois, Internet, nous plongeant dans des mondes fantastiques, semble aussi élégant qu'une voiture de course. Cependant, en réalité, à cause des hacks qui se superposent, Internet ressemble plus à Frankenstein qu’à Ferrari. Parce que ces hacks (plus officiellement appelés patchs) ne sont jamais remplacés par une technologie fiable. Les conséquences de cette approche sont désastreuses : quotidiennement et à chaque heure, des cybercriminels piratent des systèmes vulnérables, élargissant ainsi la portée de la cybercriminalité dans des proportions auparavant inimaginables. [8]

De nombreuses failles exploitées par les cybercriminels sont connues depuis longtemps et ont été préservées uniquement grâce à la tendance de la communauté informatique à résoudre les problèmes émergents - avec des hacks/correctifs temporaires. Parfois, à cause de cela, des technologies obsolètes s’empilent les unes sur les autres pendant longtemps, rendant la vie des gens difficile et les mettant en danger. Que penseriez-vous si vous appreniez que votre banque construit son coffre-fort sur des fondations de paille et de boue ? Lui feriez-vous confiance pour garder vos économies ? [8]

L'insouciance de Linus Torvalds

Il a fallu des années avant qu’Internet atteigne ses cent premiers ordinateurs. Aujourd’hui, 100 nouveaux ordinateurs et autres appareils y sont connectés chaque seconde. À mesure que les appareils connectés à Internet explosent, l’urgence des problèmes de cybersécurité augmente également. Cependant, la personne qui pourrait avoir le plus grand impact sur la résolution de ces problèmes est celle qui considère la cybersécurité avec dédain. Cet homme a été qualifié de génie, de tyran, de chef spirituel et de dictateur bienveillant. Linus Torvalds. La grande majorité des appareils connectés à Internet exécutent son système d'exploitation, Linux. Rapide, flexible, gratuit : Linux devient de plus en plus populaire au fil du temps. En même temps, il se comporte de manière très stable. Et cela peut fonctionner sans redémarrage pendant de nombreuses années. C'est pourquoi Linux a l'honneur d'être le système d'exploitation dominant. Presque tous les équipements informatiques dont nous disposons aujourd'hui fonctionnent sous Linux : serveurs, équipements médicaux, ordinateurs de vol, minuscules drones, avions militaires et bien plus encore. [9]

Linux réussit en grande partie parce que Torvalds met l'accent sur les performances et la tolérance aux pannes. Toutefois, il met l’accent sur cette priorité au détriment de la cybersécurité. Alors même que le cyberespace et le monde physique réel s'entremêlent et que la cybersécurité devient un problème mondial, Torvalds continue de résister à l'introduction d'innovations sécurisées dans son système d'exploitation. [9]

Par conséquent, même parmi de nombreux fans de Linux, les vulnérabilités de ce système d’exploitation suscitent une inquiétude croissante. En particulier, la partie la plus intime de Linux, son noyau, sur lequel Torvalds travaille personnellement. Les fans de Linux constatent que Torvalds ne prend pas au sérieux les problèmes de cybersécurité. D’ailleurs, Torvalds s’est entouré de développeurs qui partagent cette insouciance. Si quelqu’un de l’entourage de Torvalds commence à parler d’introduction d’innovations sûres, il est immédiatement anathème. Torvalds a rejeté un groupe de ces innovateurs, les qualifiant de « singes masturbateurs ». Alors que Torvalds disait au revoir à un autre groupe de développeurs soucieux de la sécurité, il leur dit : « Auriez-vous la gentillesse de vous suicider. Le monde serait meilleur grâce à cela. Chaque fois qu’il s’agissait d’ajouter des fonctionnalités de sécurité, Torvalds était toujours contre. [9] Torvalds a même à cet égard toute une philosophie, qui n’est pas dénuée d’une once de bon sens :

« Une sécurité absolue est inaccessible. Par conséquent, il doit toujours être considéré uniquement par rapport à d’autres priorités : rapidité, flexibilité et facilité d’utilisation. Les gens qui se consacrent entièrement à la protection sont fous. Leur réflexion est limitée, noire et blanche. La sécurité en elle-même ne sert à rien. L’essentiel est toujours ailleurs. Par conséquent, vous ne pouvez pas garantir une sécurité absolue, même si vous le souhaitez vraiment. Bien sûr, il y a des gens qui accordent plus d'attention à la sécurité que Torvalds. Cependant, ces types travaillent simplement sur ce qui les intéresse et assurent la sécurité dans le cadre relatif étroit qui délimite ces intérêts. Pas plus. Ils ne contribuent donc en aucun cas à accroître la sécurité absolue.» [9]

Encadré : OpenSource est comme une poudrière [10]

Le code OpenSource a permis d'économiser des milliards en coûts de développement de logiciels, éliminant ainsi le besoin de duplication d'efforts : avec OpenSource, les programmeurs ont la possibilité d'utiliser les innovations actuelles sans restrictions ni paiement. L'OpenSource est utilisé partout. Même si vous avez engagé un développeur de logiciels pour résoudre votre problème spécialisé à partir de zéro, ce développeur utilisera très probablement une sorte de bibliothèque OpenSource. Et probablement plus d'un. Ainsi, les éléments OpenSource sont présents presque partout. Dans le même temps, il faut comprendre qu'aucun logiciel n'est statique et que son code est en constante évolution. Par conséquent, le principe « définissez-le et oubliez-le » ne fonctionne jamais pour le code. Y compris le code OpenSource : tôt ou tard, une version mise à jour sera nécessaire.

En 2016, on a vu les conséquences de cet état de fait : un développeur de 28 ans a brièvement « cassé » Internet en supprimant son code OpenSource, qu'il avait auparavant rendu public. Cette histoire souligne que notre cyberinfrastructure est très fragile. Certaines personnes - qui soutiennent les projets OpenSource - sont si importantes pour sa maintenance que si, Dieu nous en préserve, elles se font heurter par un bus, Internet tombera en panne.

Le code difficile à maintenir est l’endroit où se cachent les vulnérabilités de cybersécurité les plus graves. Certaines entreprises ne réalisent même pas à quel point elles sont vulnérables en raison d'un code difficile à maintenir. Les vulnérabilités associées à un tel code peuvent se transformer en un véritable problème très lentement : les systèmes pourrissent lentement, sans démontrer de défaillances visibles en cours de pourriture. Et lorsqu’ils échouent, les conséquences sont fatales.

Enfin, comme les projets OpenSource sont généralement développés par une communauté de passionnés, comme Linus Torvalds ou comme les hackers du Model Railroad Club mentionnés au début de l'article, les problèmes liés au code difficile à maintenir ne peuvent pas être résolus de manière traditionnelle (en utilisant leviers commerciaux et gouvernementaux). Parce que les membres de ces communautés sont volontaires et valorisent avant tout leur indépendance.

Encadré : Peut-être que les services de renseignement et les développeurs d’antivirus nous protégeront ?

En 2013, il est devenu connu que Kaspersky Lab disposait d'une unité spéciale qui menait des enquêtes personnalisées sur les incidents de sécurité de l'information. Jusqu'à récemment, ce département était dirigé par un ancien major de la police, Ruslan Stoyanov, qui travaillait auparavant au département « K » de la capitale (USTM de la Direction principale des affaires intérieures de Moscou). Tous les employés de cette unité spéciale de Kaspersky Lab proviennent des forces de l'ordre, notamment du comité d'enquête et de la direction « K ». [onze]

Fin 2016, le FSB a arrêté Ruslan Stoyanov et l'a accusé de trahison. Dans la même affaire, Sergueï Mikhaïlov, un haut représentant du FSB CIB (centre de sécurité de l'information), a été arrêté, à qui, avant son arrestation, était liée toute la cybersécurité du pays. [onze]

Encadré : Cybersécurité appliquée

Bientôt, les entrepreneurs russes seront obligés de prêter une attention particulière à la cybersécurité. En janvier 2017, Nikolai Murashov, représentant du Centre pour la protection de l'information et les communications spéciales, a déclaré qu'en Russie, les objets CII (infrastructures d'information critiques) à eux seuls ont été attaqués plus de 2016 millions de fois en 70. Les objets CII comprennent les systèmes d'information des agences gouvernementales, des entreprises de l'industrie de la défense, des secteurs des transports, du crédit et de la finance, de l'énergie, des combustibles et du nucléaire. Pour les protéger, le 26 juillet, le président russe Vladimir Poutine a signé un ensemble de lois « sur la sécurité des CII ». D'ici le 1er janvier 2018, date d'entrée en vigueur de la loi, les propriétaires des installations CII doivent mettre en œuvre un ensemble de mesures pour protéger leurs infrastructures contre les attaques de pirates informatiques, notamment pour se connecter à GosSOPKA. [12]

Bibliographie

1. Jonathan Millet. IoT : l’importance de sécuriser vos appareils intelligents // une.
2. Ross Anderson. Comment les systèmes de paiement par carte à puce échouent // Black Hat. 2014.
3. SJ Murdoch. La puce et le code PIN sont cassés // Actes du Symposium IEEE sur la sécurité et la confidentialité. 2010. p. 433-446.
4. David Talbot. Les virus informatiques sont « endémiques » sur les dispositifs médicaux dans les hôpitaux // Revue technologique du MIT (numérique). 2012.
5. Craig Timberg. Réseau d'insécurité : un flux dans la conception // Le Washington Post. 2015.
6. Michel Lista. C'était un hacker adolescent qui dépensait des millions en voitures, vêtements et montres, jusqu'à ce que le FBI s'en rende compte. // La vie à Toronto. 2018.
7. Craig Timberg. Filet d’insécurité : un désastre annoncé – et ignoré // Le Washington Post. 2015.
8. Craig Timberg. La longue durée de vie d'une solution miracle : le protocole Internet de 1989 rend les données vulnérables aux pirates de l'air // Le Washington Post. 2015.
9. Craig Timberg. Filet d’insécurité : le noyau du débat // Le Washington Post. 2015.
10. Josué Gans. Le code open source pourrait-il enfin concrétiser nos craintes liées à l’an 2 ? // Harvard Business Review (numérique). 2017.
11. Le directeur général de Kaspersky arrêté par le FSB // CNews. 2017. URL.
12. Maria Kolomychenko. Service de cyber-renseignement : la Sberbank a proposé de créer un siège pour lutter contre les hackers // RBC. 2017.

Source: habr.com