Shahmeer Amir : « On peut sécuriser le cloud à 100 %. Par contre, si vous utilisez 1, 2, 3, 4, 5, 6, 7, 8 comme mot de passe, même Jeff Bezos ne pourra pas vous protéger d’une attaque »

Nos systèmes sont bien plus vulnérables que ne le pensent la plupart des professionnels de la cybersécurité. Du moins, c’est ce qu’on aurait tendance à croire devant l’impressionnant palmarès de « bug bounty hunter » (chasseur de primes à la faille) de Shahmeer Amir. Ce « White Hat » (autre nom des hackers éthiques) pakistanais a en effet identifié plus de 10 000 vulnérabilités dans les systèmes de 400 entreprises différentes, dont plusieurs sociétés du secteur des technologies figurant au classement Fortune 500.

Shahmeer Amir est aussi entrepreneur en série. Il proposera cette double expérience aux visiteurs du FIC 2023 (5 au 7 avril).

Pourriez-vous vous présenter en quelques mots, pour ceux de nos lecteurs qui ne vous connaîtraient pas encore ?

Je m’appelle Shahmeer Amir, j’ai 28 ans. Plusieurs organisations me considèrent comme le troisième plus grand bug bounty hunter et expert en cybersécurité du monde. J’ai écrit trois livres sur la cybersécurité, et je passe actuellement un doctorat en blockchain appliquée. Enfin, j’ai créé plusieurs sociétés dont je suis PDG, comme Younite ou Authiun.

Dans quel secteur ?

Je consacre 75 % de mon temps à Younite, depuis deux ans et demi. Nous développons une application qui met en place des canaux d’audioconférence sécurisés pour l’utilisateur. L’application va bientôt être présentée, alors je ne peux pas vous en dire plus pour l’instant.

Il y a aussi Veiliux. C’est une société que j’ai créée il y a cinq ans. Elle propose des solutions de cybersécurité sur mesure, pour tous types de clients, entreprises et particuliers. En fait, la cybersécurité ne devrait pas être vue comme un luxe. Les petites et moyennes entreprises devraient elles aussi pouvoir y accéder. De même, les grandes entreprises devraient disposer d’un choix de solutions plus large en matière de cybersécurité.

Je travaille encore sur un autre projet depuis un an et demi, Authiun. Il s’agit d’une plateforme d’authentification multifacteurs, qui rend les mots de passe inutiles. C’est un produit de cybersécurité que j’ai créé en m’appuyant sur mes connaissances, sur ce que j’ai pu apprendre au fil des ans. Nous avons levé des fonds pour ce projet au Canada récemment, et l’exploitation devrait débuter bientôt au Canada et en Europe.

Quelles sont d’après vous les principales menaces qui pourraient toucher le cyberespace en 2023 ? Et de quels pays viendraient ces menaces ?

À vrai dire, je ne pense pas que les menaces pour la cybersécurité soient une variable géographique. Ce qui compte d’après moi, c’est de déterminer ce que le cybercriminel espère tirer d’une attaque donnée. Les méchants sont partout, non ? Il reste que vous avez raison, certaines attaques sont commanditées par des États. La plupart du temps, elles partent de pays comme la Russie ou la Chine.

Cela ne signifie pas pour autant que leurs auteurs sont tous des criminels. Après tout, la première cyberattaque répertoriée soutenue par un État était Stuxnet, un malware qui a quasiment détruit le programme nucléaire iranien. En tout cas, elles viendront de pays où l’innovation est très avancée dans le domaine des ransomwares et des APT (Advanced Persistent Threats, cyberattaques persistantes).

Ces dernières années, on a en effet constaté une montée en puissance des attaques de type ransomware. Les cybercriminels vont monter encore d’un cran et créer des APT fondées sur ce qu’ils ont appris pendant ces années d’attaques par ransomware. Je pense qu’ils vont maintenant commencer à combiner les attaques APT avec la puissance et les connaissances acquises grâce au ransomware, et cibler de grandes entreprises.

La détection des vulnérabilités a le vent en poupe, surtout pour les failles zero-day non corrigées. Pourquoi, selon vous ?

Même si vous dépensez 10 millions de dollars dans un pare-feu, vous n’êtes pas à l’abri qu’un inconscient clique sur un lien de phishing dans un e-mail. Dans ce cas, vous pouvez tout jeter par la fenêtre. Pour moi, les sociétés devraient plus que jamais consacrer du temps à former les utilisateurs. Le maillon faible de la chaîne est encore et toujours le facteur humain. La cybersécurité devrait aussi être considérée comme un élément incontournable pour faire fonctionner une entreprise, pas comme un luxe, facultatif.

Le cloud semble devenir un environnement de plus en plus risqué. Quelles menaces identifiez-vous en particulier concernant le Cloud et la multiplication des usages du Cloud ?

Le cloud est une infrastructure ouverte. Le problème est souvent que les entreprises qui créent des comptes cloud ne leur affectent pas des ressources suffisamment bien formées et équipées. C’est pour ça qu’elles finissent par se faire pirater. On peut sécuriser le cloud à 100 %. Par contre, si vous utilisez 1, 2, 3, 4, 5, 6, 7, 8 comme mot de passe, même Jeff Bezos ne pourra pas vous protéger d’une attaque.

Au moment de déployer leurs propres serveurs, les gens utilisent souvent les configurations par défaut, ce qui est une grossière erreur. Utiliser un environnement cloud, en fait, c’est se connecter à l’ordinateur de quelqu’un d’autre et l’utiliser, virtuellement. À vous de définir comment vous l’utilisez et quel niveau de sécurité vous voulez mettre en œuvre. Ce que la plupart des entreprises ne comprennent pas, c’est qu’il est impossible de protéger un serveur contre les attaques si la configuration du matériel utilisé virtuellement n’est pas sécurisée. Quelle que soit la sécurité de l’infrastructure cloud, quelle que soit la taille du pare-feu.

Finalement, la sécurité d’un environnement cloud dépend de l’aptitude de l’utilisateur des serveurs et ressources cloud à configurer cette sécurité. Voilà mon avis.

En 2022, les cyberattaques ont souvent eu davantage de conséquences sur le monde physique, par exemple, sur la supply chain ou certaines infrastructures critiques. Pensez-vous que cette tendance se poursuivra en 2023 ?

Oui, je pense qu’on continuera de l’observer dans les années qui viennent. On peut voir les choses ainsi : du simple ventilateur à la centrifugeuse nucléaire, tout ce qui est connecté à un ordinateur peut être la cible d’une attaque, sous une forme ou une autre. C’est pour ça qu’on met en place la sécurité SCADA, pas vrai ? Si les ressources techniques ne sont pas sécurisées, les ressources matérielles ne le seront pas non plus.

En tant qu’hacker éthique, avez-vous constaté une augmentation des signalements de bugs liés à l’Internet des objets ? Cela a-t-il des conséquences sur votre activité d’hacker éthique ?

Oui. Je dirais que cela concerne environ 5 % de mes signalements, avec une tendance à la hausse. Pour moi, traquer les failles de l’Internet des objets n’est pas vraiment différent de ce que j’ai l’habitude de faire. En fin de compte, tout matériel intègre un firmware, et ça reste du logiciel, vous voyez. Et ce logiciel ressemble à tout autre logiciel utilisé pour faire tourner une application Web. Ce qui différencie les logiciels entre eux, c’est leur logique de base, pas le scénario de codage ou la méthode de programmation.

On va observer de plus en plus de menaces de type SCADA ou IoT, parce qu’il faut s’attendre à une généralisation des technologies d’IA dans un avenir proche. Nous devons concevoir ces systèmes avec la plus grande attention, pour y intégrer la cybersécurité dès le départ. Cela nous évitera des problèmes.

Vous avez mentionné l’intelligence artificielle. Quel est l’impact de cette technologie en matière de cybersécurité ?

Il y a par exemple ces menaces dont j’ai déjà parlé. Les APT, ou cyberattaques persistantes. En gros, ce genre de menace prend des décisions à la volée. Si une question ou un problème se présente à elle, la menace reste dans le système sans être détectée. Son code lui permet d’évoluer en tenant compte de l’environnement dans lequel elle est déployée. Certains malwares utilisant l’IA sont donc déjà en place.

Initialement, l’IA est un programme capable d’effectuer des choix en réaction à un changement de variables. Comme Stuxnet. Ce logiciel malveillant s’installait via des clés USB, et pouvait détecter si le système était effectivement relié à une centrifugeuse. Si ce n’était pas le cas, il restait en sommeil, jusqu’à ce qu’une autre clé USB soit connectée au système. Il se copiait alors sur cette nouvelle clé, pour passer sur un autre ordinateur jusqu’à trouver un système relié à une centrifugeuse. Le programme prenait donc des décisions adaptées aux circonstances. C’est déjà une forme d’IA.

Bien sûr, les malwares qui utilisent l’IA sont beaucoup plus sophistiqués aujourd’hui. Ils sont capables de se déplacer latéralement dans les réseaux, de concevoir différents scénarios d’attaque. Et les choses continueront d’évoluer. Prenez ChatGPT. En soi, c’est une simple interface IA. En revanche, si un cybercriminel décide d’utiliser la technologie OpenAI pour créer un malware, c’est là que les ennuis vont commencer. On se dirige vraiment vers un scénario à la « Terminator », avec une cyberattaque gérée par une IA capable de causer des dégâts considérables. Est-ce qu’on en est encore loin ? Je ne pense pas que cela risque de se produire rapidement. Mais ce jour viendra.

Quelles seront les grandes tendances en matière de cybersécurité pour les années à venir ?

Authiun développe un système d’authentification multifacteurs fondé sur l’IA, qui élimine l’utilisation de mots de passe. On verra de plus en plus de nouveaux produits fondés sur l’IA, comme la recherche automatisée de vulnérabilités, la reconnaissance automatisée ou l’analyse de malware. On assiste actuellement à une transition : l’IA était un mot à la mode, c’est en train de devenir une technologie opérationnelle.

Vous serez l’un des principaux intervenants du FIC 2023 à Lille. Que représentent les évènements de ce type pour un professionnel comme vous ?

C’est d’abord une occasion formidable de rencontrer de nouvelles personnes. J’ai toujours travaillé aux États-Unis, au Royaume-Uni et au Moyen-Orient, mais cette partie du monde n’est pas vraiment mon univers, alors je pense que j’ai des idées, des expériences différentes à partager avec votre pays. Je chercherai aussi à rencontrer autant de personnes que possible sur cette courte période, pour apprendre d’elles et trouver ma place dans leur activité, en quelque sorte.

Accepteriez-vous de dévoiler quelques thèmes que vous aborderez au FIC ?

Bien sûr ! Je tiendrai des séances plénières, qui réuniront des gens très talentueux et très respectés, qui se sont distingués dans leur domaine de travail et qui ont été récompensés pour ça. Je ferai deux sessions. Une sur l’authentification multifacteurs, l’autre sur la sécurité des systèmes de contrôle dans l’industrie.