Pourquoi il est nécessaire de soutenir les personnes ayant un esprit curieux et soucieuses de la sécurité plutôt que de les sanctionner
Le récent rapport de Bill Demilkap, un chercheur en sécurité informatique adolescent, a révélé une vulnérabilité critique dans un logiciel utilisé à l'école, ce qui m'a rappelé des souvenirs. Je me souviens, lorsque j'étais enfant et très curieux, j'aimais ouvrir le capot des logiciels pour observer comment tout fonctionnait et, plus important encore, pour voir si je pouvais les endommager.Depuis des décennies, les ingénieurs logiciels s'efforcent d'améliorer et de renforcer continuellement leurs produits. La communauté de la sécurité (dont l'approche est quelque peu provocante) joue un rôle essentiel dans la détection des failles et des catastrophes potentielles, si possible avant que des personnes malintentionnées ne le fassent.
Cependant, le problème ici est qu'à la suite de sa découverte, il a été suspendu de ses fonctions. Et cela ne s'est produit qu'après qu'il ait épuisé tous les moyens dont il disposait pour contacter l'entreprise (Follett Corporation). Personnellement, j'ai finalement choisi une méthode assez publique pour identifier ma propre capacité et celle du système à enfreindre les règles. J'ai tenté à plusieurs reprises d'alerter Follett Corporation sur le plan éthique, mais je n'ai reçu aucune réponse.Par ailleurs, le logiciel restait vulnérable et une grande quantité de données sur les étudiants n'était pas cryptée, ce qui a permis de les divulguer très facilement.
De plus, nous avons également recherché des bogues dans le logiciel Blackboard, développé par une autre société. Les données Blackboard étaient au moins cryptées, mais un attaquant potentiel aurait pu accéder à des millions d'enregistrements et les voler. Ce logiciel et les produits Forret étaient tous deux utilisés dans son établissement scolaire.
Il existe un problème avec le concept de « pirate informatique malveillant ».
Demircap a publié les résultats de son enquête de cette année. DeFcoïn, dont l'attitude espiègle et les détails plus malicieux ont été applaudis par le public.C'est tout à fait exact. Foret Corporation s'est initialement retrouvée dans une situation difficile et a dû surmonter de nombreux obstacles avant que ses découvertes ne soient reconnues. Cependant, grâce à ses efforts et à ses conseils, elle a finalement amélioré la sécurité de ses logiciels et évité une nouvelle fuite de données. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études à l'université technologique de Rochester, ce qui montre clairement qu'il est sur la bonne voie pour devenir un spécialiste en sécurité très recherché.
En tant que responsable de la sécurité, il m'est difficile de ne pas contester la manière dont cette situation a été gérée. Dans ce cas précis, tout s'est bien terminé, mais au départ, il a été traité comme un enfant turbulent qui se mêlait de ce qui ne le regardait pas.En recherchant cet incident sur Google, on trouve des articles qui le qualifient de « hacker » (ce qui, selon les idées reçues en matière de sécurité, le positionne comme un méchant à bien des égards). En réalité, son approche (et celle de nombreux autres) contribue à la sécurité des données.
Nous avons besoin de personnes curieuses, intelligentes, axées sur la sécurité et capables de voir au-delà des apparences. Et nous devons faire appel à elles plus souvent. En juillet, plus de 4 milliards d'enregistrements ont été victimes de fuites de données malveillantes, rien que cette année. La fuite de données qui a touché la marque de mode et de lifestyle Poshmarken août pourrait ajouter 50 millions d'enregistrements supplémentaires à ce chiffre.
Nous commettons les mêmes erreurs, mais ce qui est plus préoccupant, c'est que dans de nombreux cas, il s'agit de vulnérabilités simples qui nous font grimacer et qui continuent de nous faire trébucher.
Les attaques de type cross-site scripting et les injections SQL n'ont pas disparu.
Conformément au rapport ,Demilkap a découvert que le logiciel d'engagement communautaire Blackboards et le système d'information étudiant Folletts contenaient des bogues de sécurité courants tels que le cross-site scripting (XSS) et l'injection SQL. Ces deux bogues sont connus des spécialistes de la sécurité depuis les années 1990. Nous avons dû les supporter pendant de nombreuses années. Tout comme les t-shirts Hypercolor et les disquettes, ils devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. De plus, il est évident qu'il manque des développeurs suffisamment sensibilisés à la sécurité pour empêcher l'introduction de code. Les outils d'analyse et la révision manuelle du code ont des capacités limitées, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL. Dans de tels cas, ces mesures coûteuses et chronophages peuvent être utilisées de manière plus efficace.
Des personnes telles que Bill Demirkapi devraient inspirer les développeurs à créer un code de plus haut niveau. À seulement 17 ans, il a réussi à pénétrer dans deux systèmes à fort trafic en identifiant et en corrigeant des vecteurs de menaces avant que le code ne soit validé.
Gamification : quelle est la clé de l'engagement ?
J 'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent pas davantage dans la sécurité. En résumé, cela s'explique par le manque d'initiatives, tant au niveau organisationnel qu'éducatif, visant à former des développeurs sensibilisés à la sécurité. Si les entreprises prennent le temps de mettre en place une culture de la sécurité qui récompense et valorise l'engagement, et si elles organisent des formations motivantes qui encouragent les développeurs à s'exprimer et à relever des défis, ces vulnérabilités persistantes commenceront à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt certain pour la sécurité et a pris le temps d'apprendre à rétroconcevoir des logiciels malveillants, à détecter des failles et à compromettre des systèmes qui semblent inviolables de l'extérieur. Cependant, lorsque nous lui avons parlé (et à travers les diapositives de DEF CON), il a fait une remarque intéressante au sujet de son apprentissage autodidacte... Il l'a transformé en jeu :
« Mon objectif était de découvrir quelque chose à propos des logiciels scolaires, et j'ai pris beaucoup de plaisir à apprendre par moi-même, comme dans un jeu, un nombre considérable de tests de pénétration. J'ai commencé mes recherches parce que je souhaitais en savoir davantage, mais j'ai finalement découvert que la situation était bien plus grave que je ne l'avais imaginé », explique-t-il.
Tous les développeurs ne souhaitent pas nécessairement se spécialiser dans la sécurité, mais il est important de leur donner l'opportunité de développer une conscience de la sécurité. À la base, cela joue un rôle similaire à celui d'une « licence de code » au sein d'une organisation, en particulier celles qui gèrent de grandes quantités de données confidentielles. Si les développeurs peuvent corriger les failles de sécurité les plus simples avant qu'elles ne soient créées, cela permet de se positionner de manière plus sécurisée face aux développeurs qui pourraient chercher à causer des perturbations.
Êtes-vous intéressé par la formation à la gamification ? Veuillez consulter la série « Coders Conquer Security Conquer ». XSS et SQL Injection.
Le chercheur en sécurité informatique Bill Demilkap, âgé d'une dizaine d'années, a effectivement ravivé certains souvenirs en révélant une faille majeure dans les logiciels utilisés à l'école. Je me souviens que, enfant curieux, je soulevais le capot des logiciels pour observer leur fonctionnement interne et déterminer s'il était possible de les endommager.
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le récent rapport de Bill Demilkap, un chercheur en sécurité informatique adolescent, a révélé une vulnérabilité critique dans un logiciel utilisé à l'école, ce qui m'a rappelé des souvenirs. Je me souviens, lorsque j'étais enfant et très curieux, j'aimais ouvrir le capot des logiciels pour observer comment tout fonctionnait et, plus important encore, pour voir si je pouvais les endommager.Depuis des décennies, les ingénieurs logiciels s'efforcent d'améliorer et de renforcer continuellement leurs produits. La communauté de la sécurité (dont l'approche est quelque peu provocante) joue un rôle essentiel dans la détection des failles et des catastrophes potentielles, si possible avant que des personnes malintentionnées ne le fassent.
Cependant, le problème ici est qu'à la suite de sa découverte, il a été suspendu de ses fonctions. Et cela ne s'est produit qu'après qu'il ait épuisé tous les moyens dont il disposait pour contacter l'entreprise (Follett Corporation). Personnellement, j'ai finalement choisi une méthode assez publique pour identifier ma propre capacité et celle du système à enfreindre les règles. J'ai tenté à plusieurs reprises d'alerter Follett Corporation sur le plan éthique, mais je n'ai reçu aucune réponse.Par ailleurs, le logiciel restait vulnérable et une grande quantité de données sur les étudiants n'était pas cryptée, ce qui a permis de les divulguer très facilement.
De plus, nous avons également recherché des bogues dans le logiciel Blackboard, développé par une autre société. Les données Blackboard étaient au moins cryptées, mais un attaquant potentiel aurait pu accéder à des millions d'enregistrements et les voler. Ce logiciel et les produits Forret étaient tous deux utilisés dans son établissement scolaire.
Il existe un problème avec le concept de « pirate informatique malveillant ».
Demircap a publié les résultats de son enquête de cette année. DeFcoïn, dont l'attitude espiègle et les détails plus malicieux ont été applaudis par le public.C'est tout à fait exact. Foret Corporation s'est initialement retrouvée dans une situation difficile et a dû surmonter de nombreux obstacles avant que ses découvertes ne soient reconnues. Cependant, grâce à ses efforts et à ses conseils, elle a finalement amélioré la sécurité de ses logiciels et évité une nouvelle fuite de données. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études à l'université technologique de Rochester, ce qui montre clairement qu'il est sur la bonne voie pour devenir un spécialiste en sécurité très recherché.
En tant que responsable de la sécurité, il m'est difficile de ne pas contester la manière dont cette situation a été gérée. Dans ce cas précis, tout s'est bien terminé, mais au départ, il a été traité comme un enfant turbulent qui se mêlait de ce qui ne le regardait pas.En recherchant cet incident sur Google, on trouve des articles qui le qualifient de « hacker » (ce qui, selon les idées reçues en matière de sécurité, le positionne comme un méchant à bien des égards). En réalité, son approche (et celle de nombreux autres) contribue à la sécurité des données.
Nous avons besoin de personnes curieuses, intelligentes, axées sur la sécurité et capables de voir au-delà des apparences. Et nous devons faire appel à elles plus souvent. En juillet, plus de 4 milliards d'enregistrements ont été victimes de fuites de données malveillantes, rien que cette année. La fuite de données qui a touché la marque de mode et de lifestyle Poshmarken août pourrait ajouter 50 millions d'enregistrements supplémentaires à ce chiffre.
Nous commettons les mêmes erreurs, mais ce qui est plus préoccupant, c'est que dans de nombreux cas, il s'agit de vulnérabilités simples qui nous font grimacer et qui continuent de nous faire trébucher.
Les attaques de type cross-site scripting et les injections SQL n'ont pas disparu.
Conformément au rapport ,Demilkap a découvert que le logiciel d'engagement communautaire Blackboards et le système d'information étudiant Folletts contenaient des bogues de sécurité courants tels que le cross-site scripting (XSS) et l'injection SQL. Ces deux bogues sont connus des spécialistes de la sécurité depuis les années 1990. Nous avons dû les supporter pendant de nombreuses années. Tout comme les t-shirts Hypercolor et les disquettes, ils devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. De plus, il est évident qu'il manque des développeurs suffisamment sensibilisés à la sécurité pour empêcher l'introduction de code. Les outils d'analyse et la révision manuelle du code ont des capacités limitées, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL. Dans de tels cas, ces mesures coûteuses et chronophages peuvent être utilisées de manière plus efficace.
Des personnes telles que Bill Demirkapi devraient inspirer les développeurs à créer un code de plus haut niveau. À seulement 17 ans, il a réussi à pénétrer dans deux systèmes à fort trafic en identifiant et en corrigeant des vecteurs de menaces avant que le code ne soit validé.
Gamification : quelle est la clé de l'engagement ?
J 'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent pas davantage dans la sécurité. En résumé, cela s'explique par le manque d'initiatives, tant au niveau organisationnel qu'éducatif, visant à former des développeurs sensibilisés à la sécurité. Si les entreprises prennent le temps de mettre en place une culture de la sécurité qui récompense et valorise l'engagement, et si elles organisent des formations motivantes qui encouragent les développeurs à s'exprimer et à relever des défis, ces vulnérabilités persistantes commenceront à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt certain pour la sécurité et a pris le temps d'apprendre à rétroconcevoir des logiciels malveillants, à détecter des failles et à compromettre des systèmes qui semblent inviolables de l'extérieur. Cependant, lorsque nous lui avons parlé (et à travers les diapositives de DEF CON), il a fait une remarque intéressante au sujet de son apprentissage autodidacte... Il l'a transformé en jeu :
« Mon objectif était de découvrir quelque chose à propos des logiciels scolaires, et j'ai pris beaucoup de plaisir à apprendre par moi-même, comme dans un jeu, un nombre considérable de tests de pénétration. J'ai commencé mes recherches parce que je souhaitais en savoir davantage, mais j'ai finalement découvert que la situation était bien plus grave que je ne l'avais imaginé », explique-t-il.
Tous les développeurs ne souhaitent pas nécessairement se spécialiser dans la sécurité, mais il est important de leur donner l'opportunité de développer une conscience de la sécurité. À la base, cela joue un rôle similaire à celui d'une « licence de code » au sein d'une organisation, en particulier celles qui gèrent de grandes quantités de données confidentielles. Si les développeurs peuvent corriger les failles de sécurité les plus simples avant qu'elles ne soient créées, cela permet de se positionner de manière plus sécurisée face aux développeurs qui pourraient chercher à causer des perturbations.
Êtes-vous intéressé par la formation à la gamification ? Veuillez consulter la série « Coders Conquer Security Conquer ». XSS et SQL Injection.
Le récent rapport de Bill Demilkap, un chercheur en sécurité informatique adolescent, a révélé une vulnérabilité critique dans un logiciel utilisé à l'école, ce qui m'a rappelé des souvenirs. Je me souviens, lorsque j'étais enfant et très curieux, j'aimais ouvrir le capot des logiciels pour observer comment tout fonctionnait et, plus important encore, pour voir si je pouvais les endommager.Depuis des décennies, les ingénieurs logiciels s'efforcent d'améliorer et de renforcer continuellement leurs produits. La communauté de la sécurité (dont l'approche est quelque peu provocante) joue un rôle essentiel dans la détection des failles et des catastrophes potentielles, si possible avant que des personnes malintentionnées ne le fassent.
Cependant, le problème ici est qu'à la suite de sa découverte, il a été suspendu de ses fonctions. Et cela ne s'est produit qu'après qu'il ait épuisé tous les moyens dont il disposait pour contacter l'entreprise (Follett Corporation). Personnellement, j'ai finalement choisi une méthode assez publique pour identifier ma propre capacité et celle du système à enfreindre les règles. J'ai tenté à plusieurs reprises d'alerter Follett Corporation sur le plan éthique, mais je n'ai reçu aucune réponse.Par ailleurs, le logiciel restait vulnérable et une grande quantité de données sur les étudiants n'était pas cryptée, ce qui a permis de les divulguer très facilement.
De plus, nous avons également recherché des bogues dans le logiciel Blackboard, développé par une autre société. Les données Blackboard étaient au moins cryptées, mais un attaquant potentiel aurait pu accéder à des millions d'enregistrements et les voler. Ce logiciel et les produits Forret étaient tous deux utilisés dans son établissement scolaire.
Il existe un problème avec le concept de « pirate informatique malveillant ».
Demircap a publié les résultats de son enquête de cette année. DeFcoïn, dont l'attitude espiègle et les détails plus malicieux ont été applaudis par le public.C'est tout à fait exact. Foret Corporation s'est initialement retrouvée dans une situation difficile et a dû surmonter de nombreux obstacles avant que ses découvertes ne soient reconnues. Cependant, grâce à ses efforts et à ses conseils, elle a finalement amélioré la sécurité de ses logiciels et évité une nouvelle fuite de données. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études à l'université technologique de Rochester, ce qui montre clairement qu'il est sur la bonne voie pour devenir un spécialiste en sécurité très recherché.
En tant que responsable de la sécurité, il m'est difficile de ne pas contester la manière dont cette situation a été gérée. Dans ce cas précis, tout s'est bien terminé, mais au départ, il a été traité comme un enfant turbulent qui se mêlait de ce qui ne le regardait pas.En recherchant cet incident sur Google, on trouve des articles qui le qualifient de « hacker » (ce qui, selon les idées reçues en matière de sécurité, le positionne comme un méchant à bien des égards). En réalité, son approche (et celle de nombreux autres) contribue à la sécurité des données.
Nous avons besoin de personnes curieuses, intelligentes, axées sur la sécurité et capables de voir au-delà des apparences. Et nous devons faire appel à elles plus souvent. En juillet, plus de 4 milliards d'enregistrements ont été victimes de fuites de données malveillantes, rien que cette année. La fuite de données qui a touché la marque de mode et de lifestyle Poshmarken août pourrait ajouter 50 millions d'enregistrements supplémentaires à ce chiffre.
Nous commettons les mêmes erreurs, mais ce qui est plus préoccupant, c'est que dans de nombreux cas, il s'agit de vulnérabilités simples qui nous font grimacer et qui continuent de nous faire trébucher.
Les attaques de type cross-site scripting et les injections SQL n'ont pas disparu.
Conformément au rapport ,Demilkap a découvert que le logiciel d'engagement communautaire Blackboards et le système d'information étudiant Folletts contenaient des bogues de sécurité courants tels que le cross-site scripting (XSS) et l'injection SQL. Ces deux bogues sont connus des spécialistes de la sécurité depuis les années 1990. Nous avons dû les supporter pendant de nombreuses années. Tout comme les t-shirts Hypercolor et les disquettes, ils devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. De plus, il est évident qu'il manque des développeurs suffisamment sensibilisés à la sécurité pour empêcher l'introduction de code. Les outils d'analyse et la révision manuelle du code ont des capacités limitées, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL. Dans de tels cas, ces mesures coûteuses et chronophages peuvent être utilisées de manière plus efficace.
Des personnes telles que Bill Demirkapi devraient inspirer les développeurs à créer un code de plus haut niveau. À seulement 17 ans, il a réussi à pénétrer dans deux systèmes à fort trafic en identifiant et en corrigeant des vecteurs de menaces avant que le code ne soit validé.
Gamification : quelle est la clé de l'engagement ?
J 'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent pas davantage dans la sécurité. En résumé, cela s'explique par le manque d'initiatives, tant au niveau organisationnel qu'éducatif, visant à former des développeurs sensibilisés à la sécurité. Si les entreprises prennent le temps de mettre en place une culture de la sécurité qui récompense et valorise l'engagement, et si elles organisent des formations motivantes qui encouragent les développeurs à s'exprimer et à relever des défis, ces vulnérabilités persistantes commenceront à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt certain pour la sécurité et a pris le temps d'apprendre à rétroconcevoir des logiciels malveillants, à détecter des failles et à compromettre des systèmes qui semblent inviolables de l'extérieur. Cependant, lorsque nous lui avons parlé (et à travers les diapositives de DEF CON), il a fait une remarque intéressante au sujet de son apprentissage autodidacte... Il l'a transformé en jeu :
« Mon objectif était de découvrir quelque chose à propos des logiciels scolaires, et j'ai pris beaucoup de plaisir à apprendre par moi-même, comme dans un jeu, un nombre considérable de tests de pénétration. J'ai commencé mes recherches parce que je souhaitais en savoir davantage, mais j'ai finalement découvert que la situation était bien plus grave que je ne l'avais imaginé », explique-t-il.
Tous les développeurs ne souhaitent pas nécessairement se spécialiser dans la sécurité, mais il est important de leur donner l'opportunité de développer une conscience de la sécurité. À la base, cela joue un rôle similaire à celui d'une « licence de code » au sein d'une organisation, en particulier celles qui gèrent de grandes quantités de données confidentielles. Si les développeurs peuvent corriger les failles de sécurité les plus simples avant qu'elles ne soient créées, cela permet de se positionner de manière plus sécurisée face aux développeurs qui pourraient chercher à causer des perturbations.
Êtes-vous intéressé par la formation à la gamification ? Veuillez consulter la série « Coders Conquer Security Conquer ». XSS et SQL Injection.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le récent rapport de Bill Demilkap, un chercheur en sécurité informatique adolescent, a révélé une vulnérabilité critique dans un logiciel utilisé à l'école, ce qui m'a rappelé des souvenirs. Je me souviens, lorsque j'étais enfant et très curieux, j'aimais ouvrir le capot des logiciels pour observer comment tout fonctionnait et, plus important encore, pour voir si je pouvais les endommager.Depuis des décennies, les ingénieurs logiciels s'efforcent d'améliorer et de renforcer continuellement leurs produits. La communauté de la sécurité (dont l'approche est quelque peu provocante) joue un rôle essentiel dans la détection des failles et des catastrophes potentielles, si possible avant que des personnes malintentionnées ne le fassent.
Cependant, le problème ici est qu'à la suite de sa découverte, il a été suspendu de ses fonctions. Et cela ne s'est produit qu'après qu'il ait épuisé tous les moyens dont il disposait pour contacter l'entreprise (Follett Corporation). Personnellement, j'ai finalement choisi une méthode assez publique pour identifier ma propre capacité et celle du système à enfreindre les règles. J'ai tenté à plusieurs reprises d'alerter Follett Corporation sur le plan éthique, mais je n'ai reçu aucune réponse.Par ailleurs, le logiciel restait vulnérable et une grande quantité de données sur les étudiants n'était pas cryptée, ce qui a permis de les divulguer très facilement.
De plus, nous avons également recherché des bogues dans le logiciel Blackboard, développé par une autre société. Les données Blackboard étaient au moins cryptées, mais un attaquant potentiel aurait pu accéder à des millions d'enregistrements et les voler. Ce logiciel et les produits Forret étaient tous deux utilisés dans son établissement scolaire.
Il existe un problème avec le concept de « pirate informatique malveillant ».
Demircap a publié les résultats de son enquête de cette année. DeFcoïn, dont l'attitude espiègle et les détails plus malicieux ont été applaudis par le public.C'est tout à fait exact. Foret Corporation s'est initialement retrouvée dans une situation difficile et a dû surmonter de nombreux obstacles avant que ses découvertes ne soient reconnues. Cependant, grâce à ses efforts et à ses conseils, elle a finalement amélioré la sécurité de ses logiciels et évité une nouvelle fuite de données. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études à l'université technologique de Rochester, ce qui montre clairement qu'il est sur la bonne voie pour devenir un spécialiste en sécurité très recherché.
En tant que responsable de la sécurité, il m'est difficile de ne pas contester la manière dont cette situation a été gérée. Dans ce cas précis, tout s'est bien terminé, mais au départ, il a été traité comme un enfant turbulent qui se mêlait de ce qui ne le regardait pas.En recherchant cet incident sur Google, on trouve des articles qui le qualifient de « hacker » (ce qui, selon les idées reçues en matière de sécurité, le positionne comme un méchant à bien des égards). En réalité, son approche (et celle de nombreux autres) contribue à la sécurité des données.
Nous avons besoin de personnes curieuses, intelligentes, axées sur la sécurité et capables de voir au-delà des apparences. Et nous devons faire appel à elles plus souvent. En juillet, plus de 4 milliards d'enregistrements ont été victimes de fuites de données malveillantes, rien que cette année. La fuite de données qui a touché la marque de mode et de lifestyle Poshmarken août pourrait ajouter 50 millions d'enregistrements supplémentaires à ce chiffre.
Nous commettons les mêmes erreurs, mais ce qui est plus préoccupant, c'est que dans de nombreux cas, il s'agit de vulnérabilités simples qui nous font grimacer et qui continuent de nous faire trébucher.
Les attaques de type cross-site scripting et les injections SQL n'ont pas disparu.
Conformément au rapport ,Demilkap a découvert que le logiciel d'engagement communautaire Blackboards et le système d'information étudiant Folletts contenaient des bogues de sécurité courants tels que le cross-site scripting (XSS) et l'injection SQL. Ces deux bogues sont connus des spécialistes de la sécurité depuis les années 1990. Nous avons dû les supporter pendant de nombreuses années. Tout comme les t-shirts Hypercolor et les disquettes, ils devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. De plus, il est évident qu'il manque des développeurs suffisamment sensibilisés à la sécurité pour empêcher l'introduction de code. Les outils d'analyse et la révision manuelle du code ont des capacités limitées, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL. Dans de tels cas, ces mesures coûteuses et chronophages peuvent être utilisées de manière plus efficace.
Des personnes telles que Bill Demirkapi devraient inspirer les développeurs à créer un code de plus haut niveau. À seulement 17 ans, il a réussi à pénétrer dans deux systèmes à fort trafic en identifiant et en corrigeant des vecteurs de menaces avant que le code ne soit validé.
Gamification : quelle est la clé de l'engagement ?
J 'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent pas davantage dans la sécurité. En résumé, cela s'explique par le manque d'initiatives, tant au niveau organisationnel qu'éducatif, visant à former des développeurs sensibilisés à la sécurité. Si les entreprises prennent le temps de mettre en place une culture de la sécurité qui récompense et valorise l'engagement, et si elles organisent des formations motivantes qui encouragent les développeurs à s'exprimer et à relever des défis, ces vulnérabilités persistantes commenceront à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt certain pour la sécurité et a pris le temps d'apprendre à rétroconcevoir des logiciels malveillants, à détecter des failles et à compromettre des systèmes qui semblent inviolables de l'extérieur. Cependant, lorsque nous lui avons parlé (et à travers les diapositives de DEF CON), il a fait une remarque intéressante au sujet de son apprentissage autodidacte... Il l'a transformé en jeu :
« Mon objectif était de découvrir quelque chose à propos des logiciels scolaires, et j'ai pris beaucoup de plaisir à apprendre par moi-même, comme dans un jeu, un nombre considérable de tests de pénétration. J'ai commencé mes recherches parce que je souhaitais en savoir davantage, mais j'ai finalement découvert que la situation était bien plus grave que je ne l'avais imaginé », explique-t-il.
Tous les développeurs ne souhaitent pas nécessairement se spécialiser dans la sécurité, mais il est important de leur donner l'opportunité de développer une conscience de la sécurité. À la base, cela joue un rôle similaire à celui d'une « licence de code » au sein d'une organisation, en particulier celles qui gèrent de grandes quantités de données confidentielles. Si les développeurs peuvent corriger les failles de sécurité les plus simples avant qu'elles ne soient créées, cela permet de se positionner de manière plus sécurisée face aux développeurs qui pourraient chercher à causer des perturbations.
Êtes-vous intéressé par la formation à la gamification ? Veuillez consulter la série « Coders Conquer Security Conquer ». XSS et SQL Injection.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
