Login
Tobias Ospelt (29 ans) travaille chez modzero AG en tant que conseiller en sécurité et testeur de sécurité.
Je teste des logiciels et du matériel pour les entreprises : Tout d'abord, je collecte des informations sur le produit et je me documente sur le sujet. Après cette recherche, je cherche les points faibles et les risques qui n'ont pas été pris en compte lors de la conception du produit. J'effectue également d'innombrables tests et j'observe comment le système réagit à mes entrées et à mes commandes. L'étape suivante consiste à déterminer les raisons des anomalies, les points faibles et la manière dont ils peuvent être exploités.
En règle générale, des améliorations sont apportées pour combler les lacunes de sécurité du programme. Les systèmes informatiques sont généralement très modulaires, ce qui permet généralement de remplacer les parties défectueuses. Lorsque nous découvrons des erreurs de conception grossières lors du développement d'une application, les clients décident parfois de reconstruire le programme.
Les pirates envoient des commandes au site web et observent comment il réagit. Ce processus ne dure généralement pas quelques minutes, mais plutôt des jours. Les commandes des pirates peuvent générer des messages d'erreur et indiquent, entre autres, où les requêtes sont répondues et quel logiciel est utilisé. Les pirates analysent donc le comportement du site web. Dans certains cas, les pirates parviennent par exemple à envoyer des chaînes de caractères spécifiques, ce qui leur permet d'obtenir une erreur de base de données en réponse. Dans ces cas, les pirates savent que les entrées sont parvenues jusqu'à la base de données du système sans être filtrées et qu'elles communiquent en quelque sorte avec le cœur du système. Si les pirates finissent par envoyer des commandes adaptées à la base de données et que celles-ci sont exécutées, le système est piraté. Dans ces cas, les pirates voient s'afficher les données souhaitées en réponse à leurs demandes - et aucun message d'erreur. La conséquence de cette erreur peut être, dans le pire des cas, que les données de tous les utilisateurs peuvent être lues ou manipulées.
Souvent, les intérêts financiers sont au premier plan des attaques. Les agresseurs veulent obtenir de l'argent - de qui ou comment est secondaire. Les particuliers comme les entreprises sont donc menacés. Le malware "Locky", en circulation depuis plusieurs mois, en est la preuve. Le malware crypte les données - comme les fichiers texte - sur l'ordinateur de la victime. Ce n'est qu'en payant une rançon au maître chanteur que l'on obtient la clé permettant de débloquer les données. Il est donc très important de prendre au sérieux le thème de la sécurité dans l'entreprise et dans la vie privée.
On trouve par exemple une bonne liste sur le site de l'Office fédéral de la sécurité dans la technologie de l'information BSI. D'une manière générale, il convient de prendre conscience des contenus légitimes et non légitimes, de ne pas exécuter de programmes inconnus, d'effectuer des mises à jour régulières des logiciels et d'utiliser des adblockers. De nombreux autres aspects viennent s'ajouter, en particulier pour les entreprises. Dans ce cas, c'est le service informatique qui s'occupe des aspects techniques.
L'"Internet of Things" constituera certainement un défi de taille. Il s'agit d'appareils connectés à Internet, mais souvent peu performants. On parle pour ces appareils de "Embedded Devices". Pour développer ces appareils en toute sécurité, il faut investir beaucoup de travail. De plus, un savoir-faire spécifique est nécessaire. Il n'est pas certain que ce savoir-faire soit disponible chez un fabricant qui a construit des réfrigérateurs pendant 20 ans, par exemple. Souvent, le délai de mise sur le marché est trop court, ce qui fait que les appareils sont pleins de défauts et offrent d'innombrables surfaces d'attaque. Souvent, il n'y a même pas de mécanisme de mise à jour disponible, ce qui fait qu'aucune mise à jour importante du logiciel ne peut être effectuée si un défaut a été identifié dans le produit.
Au début, on apprend beaucoup dans les livres. Mais aujourd'hui, ce sont surtout les informations trouvées sur Internet qui m'aident - du livre blanc d'une université au billet de blog qui traite des attaques actuelles. En outre, il y a de nombreux échanges entre les testeurs de sécurité et des conférences spéciales sur la sécurité avec des exposés sur des thèmes actuels.
-min.png)
