Black Hat Europe 2022 : Un Internet défendable est possible, mais seulement avec une refonte de l’industrie
John Leyden 07 décembre 2022 à 15:19 UTC
Mis à jour : 07 décembre 2022 à 15:22 UTC
Autonomisez les acheteurs et arrêtez de vous focaliser sur les jours zéro, ont déclaré les participants à la conférence
Des étapes vers la construction d’un Internet défendable sont possibles, mais pour y parvenir, l’industrie doit accepter les réglementations de sécurité de base et s’éloigner d’une fixation sur les vulnérabilités du jour zéro.
Ouvrant la conférence Black Hat Europe mardi, le chercheur en sécurité Daniel Cuthbert a salué les améliorations de sécurité obtenues grâce à l’adoption plus large du cloud computing, les améliorations d’iOS et des contrôles de sécurité Web plus stricts dans Google Chrome, entre autres développements.
Un problème, cependant, est que ces améliorations ne se répercutent pas sur les améliorations des pratiques de sécurité de manière plus générale.
En savoir plus sur les dernières nouvelles de la conférence Black Hat
Cuthbert a posé la question : une bonne sécurité signifie-t-elle une approche de verrouillage ou sommes-nous réellement capables de construire un Internet ouvert, transparent et pourtant sécurisé pour le plaisir de tous ?
Selon Cuthbert, l’industrie est trop obsédée par les zero-days, bien que la plupart des cyberattaques réussissent toujours à utiliser des techniques courantes telles que le phishing.
Pendant Covid, nous avons vu beaucoup de gens déchirer des produits pour rechercher des bogues, a déclaré Cuthbert. Beaucoup de criminels aussi.
Il y a eu 32 jours zéro enregistrés en 2019, selon les chiffres cités par Cuthbert. Ce chiffre est tombé à 30 en 2021 avant de remonter à 70 en 2021.
Selon Cuthbert, de nombreux jours zéro surviennent parce que les fournisseurs n’ont pas réussi à corriger les bogues.
Parce que les exploits zero-day peuvent être une arme entre les mains des cybercriminels ou des espions, les chercheurs doivent être plus responsables et publier des méthodes de détection parallèlement aux exploits de preuve de concept lorsqu’ils publient des recherches, selon Cuthbert.
Les réactions instinctives doivent cesser
Cuthbert a critiqué l’industrie pour être tombée dans un cycle d’offre d’outils pour surmonter les lacunes des produits de sécurité antérieurs plutôt que d’essayer d’identifier et de traiter la cause profonde des problèmes.
Par exemple, les lacunes des pare-feu de première génération ont été résolues avec le développement de pare-feu d’applications Web, une classe de produits qui a elle-même été une source de problèmes de sécurité.
Cuthbert a déclaré : Pouvons-nous arrêter le cycle de construction d’outils pour réparer les outils qui ne sont pas suffisamment sécurisés ?
Le chercheur a également reproché à l’industrie de blâmer les utilisateurs finaux tels que, comme il l’a dit, Dave des comptes pour avoir été victime d’attaques de phishing.
Les acheteurs n’ont actuellement aucune influence significative sur la sécurité des produits, une tendance qui doit changer.
Les fournisseurs doivent également se voir poser des questions difficiles sur la modélisation des menaces, la sécurité de la chaîne d’approvisionnement et doivent être poussés à utiliser des langages sécurisés en mémoire pendant le processus d’approvisionnement.
TU POURRAIS AUSSI AIMER Conférences sur la cybersécurité 2022 : un aperçu des événements en ligne, en personne et hybrides