La cybersécurité est plus que jamais sur le devant de la scène du fait d’une recrudescence des attaques, et les prises de conscience ne cessent d’émerger en conséquence au sein des organisations. Dans ce contexte, les chercheurs dédiés aux cybermenaces subissent une importante pression à mesure que les nouveaux vecteurs et risques émergent – car ils doivent contrer ces attaques, parfois en temps réel. Mais ces acteurs de l’ombre, qui doivent finalement penser comme des cybercriminels, connaissent immanquablement des échecs parfois, ce qui conduit à des approches de sécurité éprouvées ; faisant de ces ratés parfois spectaculaires des cas d’école qui profitent à l’ensemble de la communauté des chercheurs dans le domaine.
S’il n’est pas toujours facile de communiquer publiquement de ces revers, certaines expériences dévoilées ont pourtant permis d’aider à mieux se prémunir contre des attaquants toujours plus agressifs, créatifs et déterminés.
Ne jamais présumer
Une hypothèse erronée, comme le saut d’une étape dans un projet de recherche d’une vulnérabilité dans une pile de protocoles, peut faire échouer ce dernier. Le fournisseur alors incapable de reproduire l’exploit développé, doit procéder à un examen minutieux des processus et des procédures de recherche existants afin de résoudre le problème et de s’assurer que des erreurs similaires ne se reproduisent pas.
Autre exemple, la découverte d’un bug dans le cadre de recherches sur les vulnérabilités d’escalade de privilèges locaux. Normalement, un chercheur, au terme d’une semaine de rétro-ingénierie et de développement de l’exploit, est censé divulguer la faille au fournisseur. Or, disposant de droits administrateurs, il n’est pas rare que ledit chercheur conçoive l’exploit en utilisant machinalement ses privilèges d’administrateur. Non seulement, le fournisseur ne peut pas utiliser correctement l’exploit créé pour résoudre le bug, mais ce dernier devient beaucoup moins problématique en termes de sécurité.
Dédiaboliser les échecs
Ce n’est pas parce que les échecs de sécurité des chercheurs ne sont pas révélés sur Reddit, Twitter et dans d’autres publications de recherches, qu’ils n’existent pas. De plus, le fait de ne pas les partager peut avoir des répercussions négatives. Par exemple, cela peut créer un biais dit « de survie », c’est-à-dire lorsque la recherche est dénaturée parce que l’attention est portée sur les résultats les plus prometteurs, souvent des exceptions statistiques, plutôt que des cas représentatifs. Cela fausse ainsi les résultats finaux.
Bien qu’il puisse être embarrassant d’admettre ses erreurs, le principe de la recherche repose sur les tests et les erreurs. Echouer au quotidien fait donc partie intégrante du travail des chercheurs en sécurité. Plus ces derniers se sentiront à l’aise de partager leurs déconvenues, moins celles-ci seront considérées comme des « erreurs » en tant que telles mais comme des opportunités de progresser dans la sécurisation des systèmes et dans la lutte contre les cybermenaces. En effet, voir d’autres personnes traverser les mêmes épreuves et connaître les mêmes échecs, encouragera les équipes à poursuivre leurs efforts.
Coordonner les efforts et travailler en équipe
Lors de la découverte de nouveaux malwares, les fournisseurs publient fréquemment leurs recherches. Il n’est pas rare que plusieurs d’entre eux travaillent simultanément sur le même sujet et publient leurs conclusions en parallèle, donnant des noms différents à des menaces pourtant identiques. Cela crée de la confusion à la fois sur le malware identifié, sur les risques et sur les étapes à suivre pour s’en prémunir. Or, une meilleure collaboration accélérerait et affinerait potentiellement la recherche, puis faciliterait une communication unifiée des conclusions et moyens de se prémunir de la menace. De plus, lorsque plusieurs fournisseurs prévoient de publier leurs conclusions pour un maximum d’impact, automatiser la diffusion permettra d’éviter des décalages entre les publications et d’assurer une cohérence dans les résultats.
L’inventeur et scientifique Thomas Edison a dit : « Je n’ai pas échoué une seule fois. J’ai simplement découvert 10 000 façons qui ne fonctionnent pas ». Si les échecs ont maintes fois conduit à des découvertes révolutionnaires, il est pourtant profondément humain de vouloir les garder pour soi. Cependant, le message fondamental délivré par la communauté des chercheurs de sécurité est la nécessité de passer outre, car il y a beaucoup à apprendre des nombreuses erreurs commises chaque jour. In fine, le plus important n’est pas la réponse finale à la question : ce qui importe, c’est aussi la façon dont on y arrive et les enseignements que l’on en tire en cours de route. La cybersécurité est un domaine en mouvement, en constante évolution et la menace ne faiblit pas. Unir ses forces et ses erreurs est donc le meilleur moyen de garder une longueur d’avance sur les cybercriminels actuels et futurs afin de protéger les intérêts des organisations et ceux des individus.
___________________
Par Ketty Cassamajor, Responsable Avant-Vente Europe du Sud, chez CyberArk
puis