Pourquoi nous devons soutenir les agents de sécurité curieux plutôt que de les sanctionner
Le dernier rapport de Bill Demirkapi, chercheur en sécurité chez Teenagers, qui a révélé une faille majeure dans le logiciel utilisé dans son école, a certainement ravivé certains souvenirs. Je me souviens, enfant curieux, avoir ouvert le logiciel pour voir comment il fonctionnait et, surtout, si je pouvais le pirater. Depuis des décennies,les ingénieurs logiciels cherchent à améliorer et à renforcer continuellement leurs produits, et la communauté de la sécurité (même si ses méthodes sont parfois un peu effrontées) joue un rôle important dans la découverte des failles et des catastrophes potentielles, dans l'espoir que les personnes mal intentionnées ne le fassent pas avant.
Cependant, le problème ici est que, en réponse à sa découverte, il a été temporairement suspendu de ses études. Cela s'est produit après qu'il ait épuisé tous les moyens de contacterl'entreprise (Flare) en privé, et qu'il ait finalement choisi de lancer une attaque assez publique pour prouver son identité et sa capacité à pirater le système. Il a tenté à plusieurs reprises d'avertir Flare de manière éthique, mais n'a reçu aucune réponse, et le logiciel reste vulnérable.et les données d'un grand nombre d'étudiants étaient facilement accessibles, car la plupart d'entre elles n'étaient pas cryptées.
Il a également identifié une faille dans le logiciel d'une autre entreprise : Blackboard. Bien que les données de Blackboard aient au moins été cryptées, un attaquant potentiel aurait pu s'introduire à nouveau dans le système et dérober des millions d'enregistrements. Son établissement scolaire utilise ce logiciel ainsi que les produits de Flare.
Le terme « pirate informatique malveillant » est discutable.
Lors de la conférence DEF CONde cette année, Demir Kapı a présenté ses découvertes, et les détails les plus amusants de sa présentationont été accueillis par les applaudissements du public.En effet, selon certaines sources, la société Folet lui aurait exprimé sa gratitude pour ses efforts et aurait suivi ses recommandations, ce qui aurait permis de renforcer la sécurité de ses logiciels et d'éviter une nouvelle crise liée à une fuite de données, malgré sa situation initialement défavorable. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études au Rochester Institute of Technology, ce qui montre clairement qu'il est en bonne voie pour devenir un expert en sécurité très recherché.
En tant que responsable de la sécurité, il est difficile de ne pas remettre en question la manière dont cette situation a été gérée. Même si tout s'est bien terminé, il a initialement été considéré comme un individu indésirable qui s'immisçait dans des affaires qui ne le concernaient pas. Dans les résultats de recherche Google sur cet incident, certains articles le qualifient de « pirate informatique » (ce qui, aux yeux des profanes en matière de sécurité, le positionne à bien des égards comme un méchant), alors qu'en réalité, sa méthode (ainsi que celle de nombreuses autres personnes) contribue à protéger la sécurité de nos données.
Nous avons besoin de personnes curieuses, intelligentes et soucieuses de la sécurité pour approfondir nos connaissances, et nous devons mener des enquêtes plus fréquentes. En juillet, plus de quatre milliards d'enregistrements ont été exposés à des fuites de données malveillantes, rien que cette année. Avec la faillite en août de la marque de mode et de lifestyle Poshmark, vous pouvez ajouter 50 millions à ce chiffre.
Nous commettons les mêmes erreurs, et ce qui est plus préoccupant, c'est que ces erreurs sont souvent de simples failles qui nous mettent constamment dans des situations difficiles.
Les attaques de type « cross-site scripting » et les injections SQL persistent.
Selon certaines informations, Cableet Demirkapi ont découvert que le logiciel communautaire Blackboards et le système d'information étudiant Folletts comportaient des failles de sécurité courantes, telles que le script intersite (XSS) et l'injection SQL, deux vulnérabilités qui préoccupent les experts en sécurité depuis les années 1990. Nous avons toléré leur présence pendant un certain temps , un temps considérable, tout comme les t-shirts Hypercolor et les disquettes, qui devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. Il est évident que peu de développeurs font preuve d'une vigilance suffisante pour empêcher leur introduction dans leur code. Les outils d'analyse et les revues de code manuelles ne peuvent jouer qu'un rôle limité, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL, dans lesquels ces mesures coûteuses et chronophages peuvent être mieux utilisées.
Des individus tels que Bill Demirkapi devraient inciter les développeurs à créer un code de meilleure qualité. À seulement 17 ans, il a réussi à compromettre deux systèmes à fort trafic à l'aide de vecteurs de menaces qui auraient dû être détectés et corrigés avant la soumission du code.
La ludification : la clé de la participation ?
J'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent généralement pas dans les questions de sécurité. En résumé, peu d'efforts sont déployés, tant au niveau organisationnel qu'éducatif, pour former des développeurs sensibilisés à la sécurité. Lorsque les entreprises consacrent du temps à instaurer une culture de la sécurité qui récompense et valorise l'implication, notamment en mettant en place des formations qui parlent le langage des développeurs et les encouragent à persévérer, ces vulnérabilités indésirables commencent à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt particulier pour la sécurité et a consacré du temps à apprendre comment procéder à l'ingénierie inverse de logiciels malveillants, découvrir des vulnérabilités et compromettre des systèmes qui semblent intacts de l'extérieur. Cependant, lors de notre conversation (et à travers sa présentation DEF CON), il a fait une déclaration intéressante au sujet de son autoformation... Il l'a transformée en jeu :
« L'objectif était de découvrir certains éléments dans le logiciel de mon école, ce qui constituait une approche ludique intéressante pour apprendre de manière autonome de nombreux tests d'intrusion. Bien que j'aie commencé mes recherches dans le but d'approfondir mes connaissances, j'ai finalement constaté que la situation était bien plus préoccupante que je ne l'avais imaginé », a-t-il déclaré.
Bien que tous les développeurs ne souhaitent pas se spécialiser dans la sécurité, il est important que chacun ait la possibilité d'améliorer ses connaissances en la matière. Les connaissances de base constituent en quelque sorte une « licence de code » au sein de l'organisation, en particulier pour les développeurs qui contrôlent une grande quantité de données sensibles. Si chaque développeur est capable de corriger les failles de sécurité les plus simples avant même qu'elles ne soient exploitées, nous serons mieux protégés contre ceux qui cherchent à causer des dommages importants.
Êtes-vous intéressé par la formation ludique ? Veuillez consulter notre série « Les programmeurs à la conquête de la sécurité » en ligne. XSS et injection SQL.
Le chercheur en sécurité informatique Bill Demirkapi a révélé une faille majeure dans un logiciel utilisé dans les écoles, ce qui me rappelle sans aucun doute mon enfance. Je me souviens, lorsque j'étais un enfant curieux, j'ouvrais le couvercle du logiciel pour observer comment il fonctionnait... et si je pouvais le pirater.
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le dernier rapport de Bill Demirkapi, chercheur en sécurité chez Teenagers, qui a révélé une faille majeure dans le logiciel utilisé dans son école, a certainement ravivé certains souvenirs. Je me souviens, enfant curieux, avoir ouvert le logiciel pour voir comment il fonctionnait et, surtout, si je pouvais le pirater. Depuis des décennies,les ingénieurs logiciels cherchent à améliorer et à renforcer continuellement leurs produits, et la communauté de la sécurité (même si ses méthodes sont parfois un peu effrontées) joue un rôle important dans la découverte des failles et des catastrophes potentielles, dans l'espoir que les personnes mal intentionnées ne le fassent pas avant.
Cependant, le problème ici est que, en réponse à sa découverte, il a été temporairement suspendu de ses études. Cela s'est produit après qu'il ait épuisé tous les moyens de contacterl'entreprise (Flare) en privé, et qu'il ait finalement choisi de lancer une attaque assez publique pour prouver son identité et sa capacité à pirater le système. Il a tenté à plusieurs reprises d'avertir Flare de manière éthique, mais n'a reçu aucune réponse, et le logiciel reste vulnérable.et les données d'un grand nombre d'étudiants étaient facilement accessibles, car la plupart d'entre elles n'étaient pas cryptées.
Il a également identifié une faille dans le logiciel d'une autre entreprise : Blackboard. Bien que les données de Blackboard aient au moins été cryptées, un attaquant potentiel aurait pu s'introduire à nouveau dans le système et dérober des millions d'enregistrements. Son établissement scolaire utilise ce logiciel ainsi que les produits de Flare.
Le terme « pirate informatique malveillant » est discutable.
Lors de la conférence DEF CONde cette année, Demir Kapı a présenté ses découvertes, et les détails les plus amusants de sa présentationont été accueillis par les applaudissements du public.En effet, selon certaines sources, la société Folet lui aurait exprimé sa gratitude pour ses efforts et aurait suivi ses recommandations, ce qui aurait permis de renforcer la sécurité de ses logiciels et d'éviter une nouvelle crise liée à une fuite de données, malgré sa situation initialement défavorable. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études au Rochester Institute of Technology, ce qui montre clairement qu'il est en bonne voie pour devenir un expert en sécurité très recherché.
En tant que responsable de la sécurité, il est difficile de ne pas remettre en question la manière dont cette situation a été gérée. Même si tout s'est bien terminé, il a initialement été considéré comme un individu indésirable qui s'immisçait dans des affaires qui ne le concernaient pas. Dans les résultats de recherche Google sur cet incident, certains articles le qualifient de « pirate informatique » (ce qui, aux yeux des profanes en matière de sécurité, le positionne à bien des égards comme un méchant), alors qu'en réalité, sa méthode (ainsi que celle de nombreuses autres personnes) contribue à protéger la sécurité de nos données.
Nous avons besoin de personnes curieuses, intelligentes et soucieuses de la sécurité pour approfondir nos connaissances, et nous devons mener des enquêtes plus fréquentes. En juillet, plus de quatre milliards d'enregistrements ont été exposés à des fuites de données malveillantes, rien que cette année. Avec la faillite en août de la marque de mode et de lifestyle Poshmark, vous pouvez ajouter 50 millions à ce chiffre.
Nous commettons les mêmes erreurs, et ce qui est plus préoccupant, c'est que ces erreurs sont souvent de simples failles qui nous mettent constamment dans des situations difficiles.
Les attaques de type « cross-site scripting » et les injections SQL persistent.
Selon certaines informations, Cableet Demirkapi ont découvert que le logiciel communautaire Blackboards et le système d'information étudiant Folletts comportaient des failles de sécurité courantes, telles que le script intersite (XSS) et l'injection SQL, deux vulnérabilités qui préoccupent les experts en sécurité depuis les années 1990. Nous avons toléré leur présence pendant un certain temps , un temps considérable, tout comme les t-shirts Hypercolor et les disquettes, qui devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. Il est évident que peu de développeurs font preuve d'une vigilance suffisante pour empêcher leur introduction dans leur code. Les outils d'analyse et les revues de code manuelles ne peuvent jouer qu'un rôle limité, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL, dans lesquels ces mesures coûteuses et chronophages peuvent être mieux utilisées.
Des individus tels que Bill Demirkapi devraient inciter les développeurs à créer un code de meilleure qualité. À seulement 17 ans, il a réussi à compromettre deux systèmes à fort trafic à l'aide de vecteurs de menaces qui auraient dû être détectés et corrigés avant la soumission du code.
La ludification : la clé de la participation ?
J'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent généralement pas dans les questions de sécurité. En résumé, peu d'efforts sont déployés, tant au niveau organisationnel qu'éducatif, pour former des développeurs sensibilisés à la sécurité. Lorsque les entreprises consacrent du temps à instaurer une culture de la sécurité qui récompense et valorise l'implication, notamment en mettant en place des formations qui parlent le langage des développeurs et les encouragent à persévérer, ces vulnérabilités indésirables commencent à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt particulier pour la sécurité et a consacré du temps à apprendre comment procéder à l'ingénierie inverse de logiciels malveillants, découvrir des vulnérabilités et compromettre des systèmes qui semblent intacts de l'extérieur. Cependant, lors de notre conversation (et à travers sa présentation DEF CON), il a fait une déclaration intéressante au sujet de son autoformation... Il l'a transformée en jeu :
« L'objectif était de découvrir certains éléments dans le logiciel de mon école, ce qui constituait une approche ludique intéressante pour apprendre de manière autonome de nombreux tests d'intrusion. Bien que j'aie commencé mes recherches dans le but d'approfondir mes connaissances, j'ai finalement constaté que la situation était bien plus préoccupante que je ne l'avais imaginé », a-t-il déclaré.
Bien que tous les développeurs ne souhaitent pas se spécialiser dans la sécurité, il est important que chacun ait la possibilité d'améliorer ses connaissances en la matière. Les connaissances de base constituent en quelque sorte une « licence de code » au sein de l'organisation, en particulier pour les développeurs qui contrôlent une grande quantité de données sensibles. Si chaque développeur est capable de corriger les failles de sécurité les plus simples avant même qu'elles ne soient exploitées, nous serons mieux protégés contre ceux qui cherchent à causer des dommages importants.
Êtes-vous intéressé par la formation ludique ? Veuillez consulter notre série « Les programmeurs à la conquête de la sécurité » en ligne. XSS et injection SQL.
Le dernier rapport de Bill Demirkapi, chercheur en sécurité chez Teenagers, qui a révélé une faille majeure dans le logiciel utilisé dans son école, a certainement ravivé certains souvenirs. Je me souviens, enfant curieux, avoir ouvert le logiciel pour voir comment il fonctionnait et, surtout, si je pouvais le pirater. Depuis des décennies,les ingénieurs logiciels cherchent à améliorer et à renforcer continuellement leurs produits, et la communauté de la sécurité (même si ses méthodes sont parfois un peu effrontées) joue un rôle important dans la découverte des failles et des catastrophes potentielles, dans l'espoir que les personnes mal intentionnées ne le fassent pas avant.
Cependant, le problème ici est que, en réponse à sa découverte, il a été temporairement suspendu de ses études. Cela s'est produit après qu'il ait épuisé tous les moyens de contacterl'entreprise (Flare) en privé, et qu'il ait finalement choisi de lancer une attaque assez publique pour prouver son identité et sa capacité à pirater le système. Il a tenté à plusieurs reprises d'avertir Flare de manière éthique, mais n'a reçu aucune réponse, et le logiciel reste vulnérable.et les données d'un grand nombre d'étudiants étaient facilement accessibles, car la plupart d'entre elles n'étaient pas cryptées.
Il a également identifié une faille dans le logiciel d'une autre entreprise : Blackboard. Bien que les données de Blackboard aient au moins été cryptées, un attaquant potentiel aurait pu s'introduire à nouveau dans le système et dérober des millions d'enregistrements. Son établissement scolaire utilise ce logiciel ainsi que les produits de Flare.
Le terme « pirate informatique malveillant » est discutable.
Lors de la conférence DEF CONde cette année, Demir Kapı a présenté ses découvertes, et les détails les plus amusants de sa présentationont été accueillis par les applaudissements du public.En effet, selon certaines sources, la société Folet lui aurait exprimé sa gratitude pour ses efforts et aurait suivi ses recommandations, ce qui aurait permis de renforcer la sécurité de ses logiciels et d'éviter une nouvelle crise liée à une fuite de données, malgré sa situation initialement défavorable. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études au Rochester Institute of Technology, ce qui montre clairement qu'il est en bonne voie pour devenir un expert en sécurité très recherché.
En tant que responsable de la sécurité, il est difficile de ne pas remettre en question la manière dont cette situation a été gérée. Même si tout s'est bien terminé, il a initialement été considéré comme un individu indésirable qui s'immisçait dans des affaires qui ne le concernaient pas. Dans les résultats de recherche Google sur cet incident, certains articles le qualifient de « pirate informatique » (ce qui, aux yeux des profanes en matière de sécurité, le positionne à bien des égards comme un méchant), alors qu'en réalité, sa méthode (ainsi que celle de nombreuses autres personnes) contribue à protéger la sécurité de nos données.
Nous avons besoin de personnes curieuses, intelligentes et soucieuses de la sécurité pour approfondir nos connaissances, et nous devons mener des enquêtes plus fréquentes. En juillet, plus de quatre milliards d'enregistrements ont été exposés à des fuites de données malveillantes, rien que cette année. Avec la faillite en août de la marque de mode et de lifestyle Poshmark, vous pouvez ajouter 50 millions à ce chiffre.
Nous commettons les mêmes erreurs, et ce qui est plus préoccupant, c'est que ces erreurs sont souvent de simples failles qui nous mettent constamment dans des situations difficiles.
Les attaques de type « cross-site scripting » et les injections SQL persistent.
Selon certaines informations, Cableet Demirkapi ont découvert que le logiciel communautaire Blackboards et le système d'information étudiant Folletts comportaient des failles de sécurité courantes, telles que le script intersite (XSS) et l'injection SQL, deux vulnérabilités qui préoccupent les experts en sécurité depuis les années 1990. Nous avons toléré leur présence pendant un certain temps , un temps considérable, tout comme les t-shirts Hypercolor et les disquettes, qui devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. Il est évident que peu de développeurs font preuve d'une vigilance suffisante pour empêcher leur introduction dans leur code. Les outils d'analyse et les revues de code manuelles ne peuvent jouer qu'un rôle limité, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL, dans lesquels ces mesures coûteuses et chronophages peuvent être mieux utilisées.
Des individus tels que Bill Demirkapi devraient inciter les développeurs à créer un code de meilleure qualité. À seulement 17 ans, il a réussi à compromettre deux systèmes à fort trafic à l'aide de vecteurs de menaces qui auraient dû être détectés et corrigés avant la soumission du code.
La ludification : la clé de la participation ?
J'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent généralement pas dans les questions de sécurité. En résumé, peu d'efforts sont déployés, tant au niveau organisationnel qu'éducatif, pour former des développeurs sensibilisés à la sécurité. Lorsque les entreprises consacrent du temps à instaurer une culture de la sécurité qui récompense et valorise l'implication, notamment en mettant en place des formations qui parlent le langage des développeurs et les encouragent à persévérer, ces vulnérabilités indésirables commencent à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt particulier pour la sécurité et a consacré du temps à apprendre comment procéder à l'ingénierie inverse de logiciels malveillants, découvrir des vulnérabilités et compromettre des systèmes qui semblent intacts de l'extérieur. Cependant, lors de notre conversation (et à travers sa présentation DEF CON), il a fait une déclaration intéressante au sujet de son autoformation... Il l'a transformée en jeu :
« L'objectif était de découvrir certains éléments dans le logiciel de mon école, ce qui constituait une approche ludique intéressante pour apprendre de manière autonome de nombreux tests d'intrusion. Bien que j'aie commencé mes recherches dans le but d'approfondir mes connaissances, j'ai finalement constaté que la situation était bien plus préoccupante que je ne l'avais imaginé », a-t-il déclaré.
Bien que tous les développeurs ne souhaitent pas se spécialiser dans la sécurité, il est important que chacun ait la possibilité d'améliorer ses connaissances en la matière. Les connaissances de base constituent en quelque sorte une « licence de code » au sein de l'organisation, en particulier pour les développeurs qui contrôlent une grande quantité de données sensibles. Si chaque développeur est capable de corriger les failles de sécurité les plus simples avant même qu'elles ne soient exploitées, nous serons mieux protégés contre ceux qui cherchent à causer des dommages importants.
Êtes-vous intéressé par la formation ludique ? Veuillez consulter notre série « Les programmeurs à la conquête de la sécurité » en ligne. XSS et injection SQL.
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez consulter le rapport.Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Le dernier rapport de Bill Demirkapi, chercheur en sécurité chez Teenagers, qui a révélé une faille majeure dans le logiciel utilisé dans son école, a certainement ravivé certains souvenirs. Je me souviens, enfant curieux, avoir ouvert le logiciel pour voir comment il fonctionnait et, surtout, si je pouvais le pirater. Depuis des décennies,les ingénieurs logiciels cherchent à améliorer et à renforcer continuellement leurs produits, et la communauté de la sécurité (même si ses méthodes sont parfois un peu effrontées) joue un rôle important dans la découverte des failles et des catastrophes potentielles, dans l'espoir que les personnes mal intentionnées ne le fassent pas avant.
Cependant, le problème ici est que, en réponse à sa découverte, il a été temporairement suspendu de ses études. Cela s'est produit après qu'il ait épuisé tous les moyens de contacterl'entreprise (Flare) en privé, et qu'il ait finalement choisi de lancer une attaque assez publique pour prouver son identité et sa capacité à pirater le système. Il a tenté à plusieurs reprises d'avertir Flare de manière éthique, mais n'a reçu aucune réponse, et le logiciel reste vulnérable.et les données d'un grand nombre d'étudiants étaient facilement accessibles, car la plupart d'entre elles n'étaient pas cryptées.
Il a également identifié une faille dans le logiciel d'une autre entreprise : Blackboard. Bien que les données de Blackboard aient au moins été cryptées, un attaquant potentiel aurait pu s'introduire à nouveau dans le système et dérober des millions d'enregistrements. Son établissement scolaire utilise ce logiciel ainsi que les produits de Flare.
Le terme « pirate informatique malveillant » est discutable.
Lors de la conférence DEF CONde cette année, Demir Kapı a présenté ses découvertes, et les détails les plus amusants de sa présentationont été accueillis par les applaudissements du public.En effet, selon certaines sources, la société Folet lui aurait exprimé sa gratitude pour ses efforts et aurait suivi ses recommandations, ce qui aurait permis de renforcer la sécurité de ses logiciels et d'éviter une nouvelle crise liée à une fuite de données, malgré sa situation initialement défavorable. Après avoir obtenu son diplôme d'études secondaires, il poursuivra ses études au Rochester Institute of Technology, ce qui montre clairement qu'il est en bonne voie pour devenir un expert en sécurité très recherché.
En tant que responsable de la sécurité, il est difficile de ne pas remettre en question la manière dont cette situation a été gérée. Même si tout s'est bien terminé, il a initialement été considéré comme un individu indésirable qui s'immisçait dans des affaires qui ne le concernaient pas. Dans les résultats de recherche Google sur cet incident, certains articles le qualifient de « pirate informatique » (ce qui, aux yeux des profanes en matière de sécurité, le positionne à bien des égards comme un méchant), alors qu'en réalité, sa méthode (ainsi que celle de nombreuses autres personnes) contribue à protéger la sécurité de nos données.
Nous avons besoin de personnes curieuses, intelligentes et soucieuses de la sécurité pour approfondir nos connaissances, et nous devons mener des enquêtes plus fréquentes. En juillet, plus de quatre milliards d'enregistrements ont été exposés à des fuites de données malveillantes, rien que cette année. Avec la faillite en août de la marque de mode et de lifestyle Poshmark, vous pouvez ajouter 50 millions à ce chiffre.
Nous commettons les mêmes erreurs, et ce qui est plus préoccupant, c'est que ces erreurs sont souvent de simples failles qui nous mettent constamment dans des situations difficiles.
Les attaques de type « cross-site scripting » et les injections SQL persistent.
Selon certaines informations, Cableet Demirkapi ont découvert que le logiciel communautaire Blackboards et le système d'information étudiant Folletts comportaient des failles de sécurité courantes, telles que le script intersite (XSS) et l'injection SQL, deux vulnérabilités qui préoccupent les experts en sécurité depuis les années 1990. Nous avons toléré leur présence pendant un certain temps , un temps considérable, tout comme les t-shirts Hypercolor et les disquettes, qui devraient désormais appartenir au passé.
Cependant, ce n'est pas le cas. Il est évident que peu de développeurs font preuve d'une vigilance suffisante pour empêcher leur introduction dans leur code. Les outils d'analyse et les revues de code manuelles ne peuvent jouer qu'un rôle limité, et il existe des problèmes de sécurité bien plus complexes que les injections XSS et SQL, dans lesquels ces mesures coûteuses et chronophages peuvent être mieux utilisées.
Des individus tels que Bill Demirkapi devraient inciter les développeurs à créer un code de meilleure qualité. À seulement 17 ans, il a réussi à compromettre deux systèmes à fort trafic à l'aide de vecteurs de menaces qui auraient dû être détectés et corrigés avant la soumission du code.
La ludification : la clé de la participation ?
J'ai beaucoup écrit sur les raisons pour lesquelles les développeurs ne s'impliquent généralement pas dans les questions de sécurité. En résumé, peu d'efforts sont déployés, tant au niveau organisationnel qu'éducatif, pour former des développeurs sensibilisés à la sécurité. Lorsque les entreprises consacrent du temps à instaurer une culture de la sécurité qui récompense et valorise l'implication, notamment en mettant en place des formations qui parlent le langage des développeurs et les encouragent à persévérer, ces vulnérabilités indésirables commencent à disparaître des logiciels que nous utilisons.
Demirkapi manifeste un intérêt particulier pour la sécurité et a consacré du temps à apprendre comment procéder à l'ingénierie inverse de logiciels malveillants, découvrir des vulnérabilités et compromettre des systèmes qui semblent intacts de l'extérieur. Cependant, lors de notre conversation (et à travers sa présentation DEF CON), il a fait une déclaration intéressante au sujet de son autoformation... Il l'a transformée en jeu :
« L'objectif était de découvrir certains éléments dans le logiciel de mon école, ce qui constituait une approche ludique intéressante pour apprendre de manière autonome de nombreux tests d'intrusion. Bien que j'aie commencé mes recherches dans le but d'approfondir mes connaissances, j'ai finalement constaté que la situation était bien plus préoccupante que je ne l'avais imaginé », a-t-il déclaré.
Bien que tous les développeurs ne souhaitent pas se spécialiser dans la sécurité, il est important que chacun ait la possibilité d'améliorer ses connaissances en la matière. Les connaissances de base constituent en quelque sorte une « licence de code » au sein de l'organisation, en particulier pour les développeurs qui contrôlent une grande quantité de données sensibles. Si chaque développeur est capable de corriger les failles de sécurité les plus simples avant même qu'elles ne soient exploitées, nous serons mieux protégés contre ceux qui cherchent à causer des dommages importants.
Êtes-vous intéressé par la formation ludique ? Veuillez consulter notre série « Les programmeurs à la conquête de la sécurité » en ligne. XSS et injection SQL.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior peut aider votre organisation à sécuriser le code tout au long du cycle de vie du développement logiciel et à instaurer une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, directeur de la sécurité de l'information ou tout autre professionnel concerné par la sécurité, nous pouvons aider votre organisation à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Formation sur les codes de sécurité : thèmes et contenu
Notre contenu de pointe évolue constamment pour s'adapter au paysage changeant du développement logiciel, tout en tenant compte de votre rôle. Les sujets abordés couvrent tout, de l'IA à l'injection XQuery, et s'adressent à divers postes, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Découvrez un aperçu par thème et par rôle de ce que notre catalogue de contenu a à offrir.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : la mission AI pour vaincre le boss est désormais disponible sur demande.
Cybermon 2025 : la campagne « Vaincre le boss » est désormais disponible toute l'année dans SCW. La guerre de sécurité avancée de l'IA/LLM tribale, le renforcement de l'IA de sécurité à grande échelle.
Interprétation de la loi sur la résilience des réseaux : que signifie la sécurité par le biais de la conception et du développement de logiciels ?
Comprenez les exigences de la loi européenne sur la résilience des réseaux (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent s'y préparer grâce à des pratiques de conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facteur déterminant 1 : des critères de réussite clairs et mesurables
Le catalyseur n° 1 constitue le premier volet de notre série en dix parties consacrée aux facteurs de réussite. Il démontre comment relier la sécurité du code aux résultats opérationnels, tels que la réduction des risques et l'accélération de la maturité des programmes à long terme.
