Sécurité

Points clés du SecurityWatch Summit 2012 – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Hier soir, un certain nombre de spécialistes de la sécurité numérique se sont rencontrés dans un coffre-fort de banque sous les rues du bas de Manhattan. Bien que cela puisse ressembler au début d’un film de braquage, gardez à l’esprit que l’ancien coffre-fort de JP Morgan était dans un steakhouse et que les professionnels de la sécurité assistaient au Security Watch Summit 2012.

L’événement couvrait tous les aspects de la sécurité mobile et était dirigé par un vétéran de PCMag Neil Rubenking. Parmi les panélistes figuraient Renato Delatorre, directeur de la technologie et de la sécurité des réseaux chez Verizon Wireless, Gary Davis, vice-président du marketing chez McAfee, Keith Gordon, vice-président directeur de la sécurité, de l’identité et de la fraude chez Bank of America, et conseiller en sécurité Dan Guido, PDG de Sentier de bits.

L’événement principal était une table ronde où Rubenking a posé des questions à chacun des experts et ils ont ensuite répondu avec des idées de leur coin du monde de la sécurité, ainsi que réfuté ce que les autres avaient soulevé.

L’un des principaux sujets de discussion était la sécurité relative des iOS sur Android, au moins en fonction du nombre d’exploits réussis qui ont été documentés. Dan Guido a noté que le grand nombre d’appareils Android non corrigés sur le marché, combiné à la faible barrière à l’entrée dans les magasins d’applications Android, en fait une cible plus sensible que l’iPhone ou l’iPad.

Cela a conduit à l’une des principales révélations de la soirée : jusqu’à présent, les exploits mobiles ont été remarquablement simples. Les systèmes d’exploitation mobiles sont assez bien verrouillés, donc faire quoi que ce soit de méchant nécessite l’acceptation de l’utilisateur – ils doivent généralement ouvrir la porte (en jailbreakant, en rootant ou en allant dans un magasin d’applications non standard) et ensuite inviter des escrocs. L’invitation presque se présente toujours sous la forme d’une application, car c’est le principal moyen d’obtenir un nouveau code sur le système et de lui donner accès. Ce n’est pas vraiment possible dans le jardin clos d’Apple, mais un utilisateur d’Android qui télécharge une application douteuse puis ne prend pas la peine de lire les autorisations lors de l’installation pourrait avoir une mauvaise surprise.

Psssssst :  Nvidia blâme Apple pour un bogue GPU qui brise le mode incognito de Chrome

sommet sur la sécurité 2012Guide, qui avait plusieurs des meilleures répliques de la nuit, tenait particulièrement à aborder les choses du point de vue d’un hacker professionnel au travail quotidien. Il a noté que si de nombreux exploits étaient théoriquement possibles, ils n’avaient d’importance que s’ils pouvaient générer une forme de profit pour le pirate. Après tout, ces exploits ne sont pas (généralement) faits pour le lulz, ils sont faits par des personnes qui veulent utiliser vos informations pour payer le loyer. Donc, si le niveau d’effort est trop élevé ou si le gain est trop improbable, les hacks ne se produiront pas dans la nature.

En fait, c’est l’une des principales raisons pour lesquelles les systèmes mobiles ne sont pas attaqués si souvent – par rapport aux PC, il n’y a tout simplement pas beaucoup de smartphones. Ils pourraient être la plate-forme informatique du futur, mais leur plus petit nombre combiné à la difficulté relative de contourner la sécurité signifie que votre mobile ne sera pas la cible de votre machine Windows pendant un certain temps.

Un autre point notable a été soulevé par Delatorre, qui a exhorté les abonnés de Verizon à rester sur LTE et hors WiFi pour des raisons de sécurité. Le représentant de Verizon n’essayait pas seulement de vous faire utiliser toutes vos données non plus – la 3G/LTE est sécurisée alors que le WiFi gratuit que vous avez récupéré dans un café ne devrait pas être fiable.

Delatorre a également fait un aparté spécial afin de démystifier l’idée du BYOD (Bring Your Own Device [to work]). Il a noté que très peu de gens veulent réellement apporter leur propre appareil, ce qu’ils demandent, c’est que les entreprises fournissent du nouveau matériel haut de gamme. Il était ferme dans cette conviction mais n’a pas mentionné comment le BYOD peut empêcher les gens d’avoir à transporter deux smartphones. Au lieu de cela, il s’est concentré sur le désir logique de l’utilisateur d’avoir un appareil qui n’est pas un morceau obsolète de bric-à-brac.

Psssssst :  OnePlus affirme que 40 000 numéros de carte de crédit ont été volés sur son site

La dernière surprise de la soirée est venue lorsque la conversation s’est déplacée vers NFC. À ce moment-là, Keith Gordon de Bank of America – le groupe qui, selon vous, serait le plus favorable à la technologie – a déclaré que son équipe regardait au-delà de NFC pour les paiements mobiles. La proximité est bonne pour la sécurité mais cela ne rend pas le processus plus facile que de glisser une carte de crédit. Delatorre de Verizon semblait plus optimiste mais n’était pas entièrement convaincu non plus.

Toutes les têtes se sont tournées vers le franc-parler Guido, s’attendant à ce qu’il démonte la technologie comme étant une fraude et un fléau pour nos maisons collectives, mais ce n’était pas le cas. Il a noté que NFC est en fait très sécurisé en ce moment parce que la proximité rend le vol peu probable, puis parce que les lecteurs NFC (contrairement aux écumeurs de cartes de crédit) sont à la fois coûteux et nécessitent une expertise pour être utilisés. En d’autres termes, le piratage NFC n’a tout simplement pas de sens pour le moment.

Plus de lecture : « La sécurité du cloud est-elle un oxymore ? »

Bouton retour en haut de la page