Aide-toi, l'expert t'aidera !
mardi 13 décembre 2016
On entend souvent qu'un expert a trouvé une vulnérabilité et qu’il a reçu (ou pas) une récompense. Ainsi, on a l’impression que c'est grâce aux efforts de certains enthousiastes que notre vie devient plus sécurisée et que nous pouvons nous détendre un peu. Dans un sens, c'est vrai, mais il y a une nuance.
Les enthousiastes de la communauté Bugcrowd ont réalisé un sondage parmi les pirates « blancs » pour connaître leur formation, leur expérience en matière de piratage, et les motifs de leur activité.
95 % des répondants indiquent qu'ils savent bien ou très bien tester les applications Web, 48 % opèrent mieux avec Android, 28 % connaissent bien iOS, et 15 % maîtrisent bien l’Internet des objets (IoT/IdO).
Si on consulte les statistiques, on remarque que les OS et les programmes pour les PC personnels que nous utilisons dans notre activité quotidienne n'y figurent pas. Bien sûr, cela ne signifie pas que les systèmes en question n'ont pas de « bugs ». Bien évidemment, on en trouve, mais ces systèmes n'attirent pas le maximum d'attention. Pourquoi et quel impact ceci peut-il avoir sur les internautes ordinaires ?
La majorité (plus de 80 %) des sites sont vulnérables, les vulnérabilités typiques sont connues, les actions relatives à la recherche des bugs liés à ces vulnérabilités sont bien décrites, il existe des outils permettant d'automatiser ce processus. En fin de compte, actuellement, la recherche de vulnérabilités sur des ressources Web est une activité avantageuse. Des vulnérabilités existent, tôt ou tard un bug sera détecté et il sera possible de compter sur une récompense.
La situation avec les ressources mobiles et les objets "intelligents" est similaire à celle concernant les sites web. Il y a beaucoup de fournisseurs sur le marché, la majorité des appareils ne reçoivent jamais de mises à jour, les systèmes utilisés sont obsolètes en ce qui concerne leur sécurité.
Qu'est-ce qui en ressort ? Le site ayant une vulnérabilité peut être piraté, les données personnelles stockées peuvent être volées et la ressource peut être utilisée pour envoyer des spams et contaminer d'autres ordinateurs. Mais les utilisateurs n'ont pas peur des fuites de leurs données personnelles (sinon, ils ne les laisseraient pas partout sur Internet), la plupart des ordinateurs et périphériques ont une protection contre les virus et le spam.
Les cas de piratage d'un dispositif ou d'un objet "intelligent" échappent souvent à l'attention des utilisateurs (qui suit les news sur les vulnérabilités ?) il arrive que le correctif ne soit pas disponible pour les appareils plus anciens. Les utilisateurs vont-ils changer d'appareil pour corriger une vulnérabilité détectée ? :))
Le projet Lumières sur la sécurité recommande
Nous ne sous-estimons pas la nécessité et l’importance du travail des gens qui font la chasse aux bugs. Mais les statistiques montrent que dans la plupart des cas, ils cherchent des "proies" disponibles, c'est pourquoi on ne peut pas espérer que leur activité assure un surf sécurisé sur Internet. L'installation d’outils de protection, d'un antivirus, d’un Contrôle Parental, la restriction des droits des utilisateurs représentent toujours la seule option pour ceux qui désirent travailler en sécurité.
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
razgen
12:22:41 2018-07-29
Bernard
10:54:23 2016-12-13
Il n'empêche que certains hackers -souvent très pointus et passionnés - sont recrutés par des éditeurs de sécurité après avoir réussi à pénétrer dans des systèmes sécurisés ou reconnus comme tels.
L'initiative privée parait donc parfois complémentaire aux laboratoires de sécurité organisés.