Vidéo: RSA 🇨🇵RESOURCE SOLIDARITÉ ACTIVE🇫🇷/ موضوع يهمكم (Novembre 2024)
Quand les professionnels de la sécurité se trompent
Lors de la conférence RSA à San Francisco, l'équipe de SecurityWatch a interrogé certains des plus grands noms de la sécurité sur la période où ils ont commis une erreur. Cela nous rappelle que nous sommes tous des êtres humains et constitue un bon rappel des bases de la sécurité.
Oublie et pardonne (toi-même)
Interrogé à un moment "confessionnel" à propos d'un moment où il a tout gâché, le fondateur et directeur technique de White Hat, Jeremiah Grossman, n'a pas eu à réfléchir à deux fois avant de raconter comment il avait presque perdu toutes ses données cryptées. Pas à un hack, pas au travail d'un organisme gouvernemental espion, mais à un simple oubli.
Grossman a déjà relaté l'épisode douloureux en détail sur le blog de White Hat, mais a grimacé en le racontant à nouveau. Soucieux de la sécurité, il était allé très loin pour protéger ses données. "Je suis la cible d'attaques", a-t-il expliqué. C'est pourquoi il a stocké toutes ses informations sur des lecteurs virtuels cryptés. "Cryptage AES-256", a déclaré Grossman. "Des trucs de la NSA." Le problème, c'est qu'un jour, il a constaté qu'il ne pouvait tout simplement pas se souvenir de son mot de passe.
Ce n'était pas un simple mot de passe; Grossman a déclaré qu'il avait un système mental qui lui permettait de trouver des mots de passe extrêmement longs et de ne jamais avoir à les écrire. Sauf la seule fois où il en a eu le plus besoin, Grossman a découvert qu'il ne pouvait pas se rappeler entièrement le mot de passe essentiel. "Je savais que j'avais six personnages, " dit-il.
Finalement, Grossman a eu l'aide des créateurs de John the Ripper, qui ont réussi à déchiffrer son mot de passe et à restaurer ses données. Ce fut une expérience humiliante, certes, et qui illustre pourquoi il peut être utile de sauvegarder un mot de passe physique.
Les shamings continueront jusqu'à ce que le moral s'améliore
À l'opposé, Derek Halliday, responsable de produit de Lookout, a décrit la méthode particulière utilisée par la société pour appliquer des pratiques informatiques sécurisées. Lookout produit une suite de sécurité mobile pour Android, choix de l'éditeur du magazine PC Magazine l'année dernière. Cependant, il semble que la société ait eu son propre problème de sécurité, les employés laissant leurs ordinateurs sans surveillance tout en restant connectés.
Bien que cela puisse sembler une préoccupation mineure dans un bureau, cela signifie que n'importe qui aurait pu venir et voler des informations sensibles. Ou, pire encore, ajouté un logiciel malveillant au système chargé de protéger des millions d'utilisateurs mobiles.
La solution employée par Lookout est aussi élégante que brutale. Tout employé, après avoir repéré un ordinateur non sécurisé, peut accéder directement et envoyer un courrier électronique de la machine à une liste interne spéciale qui diffuse l'ensemble de la société de diffusion avec un message de reproche adressé au propriétaire de l'ordinateur. Cela déclare publiquement qui a foiré et comment, faisant du coupable un véritable Hester Prinn du bureau.
Bien que Halliday n'ait pas dit comment ou s'il avait été personnellement impliqué dans cette affaire, ou si cela fonctionnait, il était d'accord avec ma conclusion selon laquelle le renforcement négatif est très efficace. Cependant, c’est une technique de sécurité que j’espère que PC Mag ne décide pas de tester.
Soyez sûr de rester à jour plus de nos messages de RSA!
