Thomas Navennec, expert en cybersécurité

Il n’y a aucun mal à éduquer le plus de personnes possibles à hacker

De 24h chrono au Bureau des légendes, des armées aux usagers, du retail à la banque, la cybercriminalité est omniprésente. Parée d’un halo de technologie et souvent perçue comme réservée aux initiés, la cybersécurité fascine. Thomas, de Blackfoot IO décrypte pour nous la cyber et nous donne les clefs pour comprendre les enjeux sous-jacents. Pour en finir une bonne fois avec le Fishing !

Votre définition de la cybersécurité 

Le mot officiel pour la sécurité informatique c’est : « l’info-sec », la sécurité de l’information. Le mot informatique signifie « automatisation des systèmes d’informations » puisqu’il est issu de la contraction d’information et automatique. L’info-sec est ainsi la sécurité des systèmes (informatiques) et de l’information. Au quotidien, quand on parle de sécurité, on pense cadenas et clef. Quand on évoque la cybersécurité, cela renvoie souvent à une logique de clef (mot de passe) et d’authentification (cadenas). Or, on oublie souvent dans les deux cas une dimension essentielle qui confère à la sécurité un caractère complexe !

Prenons l’exemple d’une maison : elle a des murs opaques pour éviter d’être vu de l’extérieur, c’est déjà une forme de sécurité. Elle a également besoin de fondations pour ne pas s’écrouler, d’un détecteur de fumée, etc. c’est de la sécurité. Au final, sécurité et cybersécurité, se rejoignent de par leur ampleur et leur caractère complexe.

Les objectifs de la cybersécurité

La cybersécurité vise à préserver trois valeurs dans tout système : la confidentialité, la disponibilité et l’intégrité. La confidentialité, c’est donner l’accès à l’information aux seules personnes autorisées. La disponibilité, c’est permettre à ces personnes d’avoir un droit d’accès à ces données de façon permanente. L’intégrité enfin, c’est s’assurer que ces données n’aient pas été modifiées.

Cela peut sembler vague, mais garder quelqu’un ou quelque chose en sécurité a un impact sur une multitude de choses. La cybersécurité associe deux champs qui peuvent être abstraits, voire, pour le vulgus pécum, infinies ou magiques : la sécurité et l’informatique.

Je dis toujours à mes étudiants qui débutent en cybersécurité que cette discipline est la Culture Générale de l’informatique ! Il faut s’y connaitre en tout pour faire de la cybersécurité :  c’est l’un des champs les plus vastes et les plus difficiles de l’informatique.

Quelles sont les menaces pour les particuliers ?

Au delà des mots de passe et dans la vie de tous les jours, le maillon le plus faible d’internet ou d’une application, ce n’est pas l’utilisateur mais bien le site ou l’appli en question. L’utilisateur n’est qu’un rouage d’une très longue chaîne, à l’instar du développeur qui a créé le système d’exploitation, le navigateur, le site internet, etc.

Si l’on parle du comportement utilisateur, il y a quelques fondamentaux à connaître.

Les 5 commandements qu’on connaît mais qu’on préfère oublier… Stop à la procrastination !

1/ Ne pas se précipiter sur les liens cliquables de personnes ou institutions a priori fiables

Si vous recevez un e-mail de votre banque avec un lien, préférez aller directement sur le site de la banque pour prendre connaissance de l’information. Pourquoi ? Le meilleur moyen d’intercepter (de voler, hacker, pirater…) les données bancaires de quelqu’un consiste à lui envoyer un e-mail de type : « Vous avez oublié de payer 2€ sur votre facture ». Si l’internaute clique, il atterrit sur une page internet qui ressemble en tous points à celle de sa banque mais… qui ne l’est pas.

Malgré toutes les mesures de sécurité qu’une banque peut mettre en place, elle est impuissante face à cela. Même la technologie Two-Factor Authentification (2FA) qui permet, en plus du mot de passe, de recevoir un SMS avec un second code pour confirmer un achat sur internet ne suffit pas. Il est tout à fait possible d’intercepter des identifiants de connexion via la technologie 2FA.

2/ Toujours verrouiller son ordinateur lorsqu’on s’en éloigne

Un ordinateur ouvert est synonyme de « plein de données accessibles » : retenez donc le raccourci clavier pour verrouiller votre ordinateur ! De surcroît, pas besoin de quelqu’un de mal intentionné, ça peut être un collègue qui prend une photo contractuelle sauf qu’il capture ce qu’il y a sur votre écran. Cela peut aller très vite. Ce sont des réflexes que les développeurs ont, mais que tout le monde devrait avoir : je suis chez moi, je vais aux toilettes, je verrouille mon ordinateur.

En école d’informatique, mais aussi chez Blackfoot, le présupposé c’est que tout le monde peut faire ce qu’il veut sur un ordinateur déverrouillé. Pour nous, c’est une forme de sensibilisation au quotidien.

3/ Se doter d’un bon antivirus (même si le conseil peut sembler évident)

4/ Avoir plusieurs mots de passe et/ou recourir à un gestionnaire de mots de passe

Nous sommes des êtres humains et nous ne pouvons pas retenir 10 000 passwords ! Il existe des outils pour cela comme KeePass, DashLane ou encore LastPass. Les navigateurs proposent des solutions similaires ils ne génèrent pas de mots de passe aléatoires et ça change tout. Au début, c’est un peu bizarre car on ne connaît pas ses propres mots de passe, mais ils sont hyper sécurisés, absolument incassables. Enfin, utiliser un gestionnaire de mots de passe qui détermine aléatoirement des mots de passe à notre place empêche d’utiliser des liens logiques cognitifs.

Personnellement, j’utilise BitWarden car il est open-source et gratuit. Quand je vais sur une page internet où je dois payer, tout se remplit en un clic, je n’ai même plus besoin de sortir ma carte bancaire.

Prenez le temps quand vous sortirez de regarder le nombre de personnes qui sortent leurs cartes bancaires en public ou qui communiquent leurs codes par téléphone, c’est incroyable ! Dans la tête des gens, il y a encore une distinction entre vie privée en ligne et vie privée réelle, mais elles sont liées ! Si on se fait cambrioler et que le cambrioleur a accès à notre ordinateur, c’est certain qu’il va le prendre pour scanner les données. Cela fonctionne dans l’autre sens : un hacker peut nous pirater pour trouver notre adresse postale. Se faire pirater c’est pire que de se faire cambrioler. Aujourd’hui plus personne n’a de photos accrochées au mur, ni d’argent sous le matelas. Par contre, dans notre téléphone, il y a toute notre vie !

Imaginons qu’un jour je me fasse voler mon ordinateur ou mon téléphone, l’avantage avec mon gestionnaire de mots de passe c’est que je peux encore me connecter à mon compte et changer tous mes mots de passe à distance. Cela va me prendre un peu de temps, mais c’est faisable.

5/ Vérifier régulièrement qu’on ne s’est pas fait hacker

Quand un hacker parvient à obtenir des données personnelles, il peut les vendre, mais en général, ces données circulent dans les coins sombres de l’internet. Heureusement, il y a des sites qui scannent toutes les adresses piratées. Le site Have i been pwned, permet de savoir si la vôtre a été hackée. Si c’est le cas, changez le mot de passe de cette boite mail et changez de mot de passe sur les autres sites internet où vous utilisez le même ! C’est pour cette raison qu’il faut utiliser un mot de passe différent pour chaque site internet.

Une personne mal intentionnée, une fois qu’elle aura trouvé votre mot de passe sur un site internet ne va pas se limiter à ce seul site,avec un script elle va essayer ce mot de passe sur d’autres sites. Ce script permet de tester ce mot de passe sur les 10 000 sites internet les plus consultés dans le monde et cela ne prend que 10 minutes !

Quelle différence entre un bon et un mauvais hacker ?

Dans notre milieu, les hackers mal intentionnés sont appelés les « « black hats », ceux qui aident à la sécurité ou à la défense sont appelés les « white hats » et entre les deux, il y a les « grey hats ».

La limite entre ces univers est intéressante : certains hackers, quand ils trouvent une faille, vont voir l’entreprise concernée pour l’en informer moyennant une rémunération [NDLR : Et ça s’organise, comme par exemple sur root-me.org]. Certaines entreprises acceptent pour éviter des procès qui leur coûteraient cher, surtout depuis la RGPD [NDLR : Règlement Général sur la Protection des Données]. Mais d’autres entreprises préfèrent noyer le poisson ou nier. Ce n’est pas normal, il faut qu’elles apprennent à jouer le jeu, comme le font certaines grandes entreprises comme Google ou Microsoft.

La philosophie dans le milieu c’est qu’il n’y a aucun mal à éduquer le plus de personnes possibles à hacker. En effet, cela veut dire qu’il y en aura au moins autant qui sauront s’en prémunir. La raison pour laquelle je donne des workshops de sécurité à EPITECH c’est que la sécurité par le secret n’a jamais fonctionné !

Retrouvez prochainement la suite de l’interview de Thomas sur la cybersécurité dans les entreprises…