Rsac: à quoi ressemblera la sécurité en 2020?

À quoi ressemblera la sécurité en 2020? À quoi ressemblera la vie, en général? Les types visionnaires de Trend Micro ont beaucoup réfléchi au sujet. Ils ont rédigé un livre blanc de 25 pages… et ont également créé une série de vidéos Web pour ceux qui veulent une vue plus accessible. J'ai discuté avec Rik Ferguson, vice-président de Trend Micro, de son point de vue sur la façon dont la technologie portable et l'Internet des objets vont changer nos vies.

Rubenking : Quelles sont les chances pour que mon réfrigérateur connecté soit coopté dans un botnet?

Ferguson : On peut en abuser, mais cela va-t-il aller jusqu'à rejoindre un botnet? Pour être utiles dans un botnet, les périphériques doivent disposer de certaines fonctionnalités, qu’elles soient ou non présentes. Il n’y aura pas cette homogénéité de système d’exploitation et de périphériques qui facilite le fonctionnement d’un botnet. Il est difficile d'écrire quelque chose de fonctionnel pour toutes les plateformes.

Mais vous pouvez utiliser n’importe quel point de terminaison pour, par exemple, envoyer du courrier électronique. Ce sera facile d'abuser. Si nous parlons de tout l’espace IPv6 adressable, l’envoi automatique de spam à partir d’adresses IP extrêmement variables est simple.

Alors, abuser, oui, botnets, c'est autre chose. Cependant, nous avons vu des botnets mobiles rudimentaires. Il n'y a que deux acteurs principaux, et le principal est sérieusement absent.

Rubenking : Vous voulez dire Android.

Ferguson : oui. Apple fait du bon travail en préservant la clarté de son écosystème. Quelques exploits de validation de principe ont été intégrés à leur boutique d'applications, mais si votre appareil iOS n'est pas jailbreaké, votre risque est relativement limité.

Une chose que je vois juste à l’horizon est des kits d’exploitation pour mobiles. Nous n'avons pas encore vu cela. Black Hole et autres se concentrent sur Wintel, peut-être un peu de Mac. Quand on voit un kit pour mobile, c'est énorme, le jeu change. Ils n'auront pas à compter sur l'infrastructure de la boutique d'applications. Cliquez sur le lien et vous êtes pwned.

Rubenking : Et vous voyez que cela se passe bientôt?

Ferguson : Cela viendra dans 12 à 18 mois. La dernière version du kit BlackHole Exploit recueillait des statistiques pour mobile avant l’arrestation de l’auteur. Si vous appuyez sur Android, il ne tentera pas d’envoyer des logiciels malveillants, mais il enregistrera la visite. Les exploits sont rapides et faciles. c'est la consumérisation de la cybercriminalité.

La barrière technique a disparu; les criminels n'ont pas besoin d'expertise en technologie. Certains des groupes les plus performants, ceux que nous connaissons parce qu'ils ont été arrêtés, affichent des compétences en affaires et en marketing et traitent avec des partenaires. Pas de compétences techniques. Les trousses à outils sont juste pointer et cliquer.

Regardez les personnes derrière DNSChanger. Leur entreprise de couverture était entièrement fonctionnelle et leur capacité à monétiser les publicités qu’elles remplaçaient dans le navigateur était très bonne. Ces personnes savent comment obtenir des partenaires. Ils feraient bien dans une entreprise légitime.

Rubenking : Voyez-vous un problème avec les voitures connectées?

Ferguson : Ce n'est pas dans un avenir lointain. Mais vous devez vous rappeler que la grande majorité des activités criminelles ont une motivation financière. Tuer quelqu'un en piratant la voiture n'est tout simplement pas lucratif. Oh, vous pourriez l'utiliser pour espionner, peut-être pour une activité de type Stuxnet. Ouvrez le microphone, voyez ce que vous entendez ou suivez les personnes. Mais un malware répandu pour neutraliser et blesser? C'est du fantasme.

Le gros risque dans la technologie connectée est ce que nous avons vu au CES. Des écouteurs qui mesurent la fréquence cardiaque dans le gymnase. Lunettes de ski connectées avec GPS. Chaussures connectées, capteurs dans vos vêtements. Le gros problème est la quantité de données que nous générons sur nous-mêmes, nos maisons et nos familles. Le prochain grand bond en matière de criminalité est l'analyse de données volumineuses sur ces données. Cela rendra les attaques ciblées plus crédibles. Par exemple, vous recevez apparemment un e-mail de votre salle de sport, vous appelant par votre nom, mentionnant les visites récentes, notant peut-être vos nouvelles chaussures connectées, et voici, cliquez ici pour télécharger notre application. Mais c’est le malware, le harponnage.

Rubenking : Et votre projet 2020, ce livre blanc et cette série de vidéos, incorpore ce genre de problème à venir?

Ferguson : Chose amusante, nous ne prévoyons pas d'attaques, mais un fournisseur de contenu de l'industrie. Le fournisseur de services Internet vous donne une connexion, mais le fournisseur de contenu sait tout de vous. Vous leur faites confiance, ils ont des informations sur vous et adaptent les informations que vous obtenez sur votre affichage tête haute. C'est la première fois qu'Internet pourrait rétrécir nos horizons. Si tout ce que vous voyez est déjà connu, votre horizon se rétrécit. Nous devrons trouver comment intégrer le hasard dans Internet.

Et si les criminels avaient accès à ce fournisseur de contenu? Ils peuvent pirater toute votre expérience du monde. Et ça va plus loin. Nous avons étudié les communications dans le transport maritime international et les systèmes existants. Nous l'avons trouvé complètement piratable. Dis que tu es un pirate somalien; vous pouvez choisir votre navire, rediriger sa route, modifier sa fréquence de communication et les pirates attendent. La technologie existante qui n’était pas conçue pour être connectée est l’un des plus grands défis.

Rubenking : Alors, devrions-nous nous inquiéter pour l'avenir?

Ferguson : La technologie est neutre. La technologie n'est pas démoniaque. Utilisés correctement, nous pouvons créer une société beaucoup plus fonctionnelle et équitable, avec un accès plus large à beaucoup de choses. Mais nous devons nous assurer que la sécurité fait partie intégrante de la réflexion dès le départ, et non pas prise au piège. C'est difficile, car pour une startup, la sécurité est un obstacle. Nous devons faire participer les éducateurs, les écoles et les gouvernements.

C'est pourquoi nous avons transformé le livre blanc 2020 en une série Web. Neuf épisodes, tous sauf le finale, environ cinq minutes. Nous avons pris les recherches et écrit un thriller dans ce monde, montrant des choses comme l'affichage en tête-à-tête que tout le monde utilisera et la facilité avec laquelle il sera facile de converser avec quelqu'un dans une autre langue, avec toutes les commodités.

L'objectif n'était pas de transformer le livre blanc en infographie vidéo, mais d'élargir l'audience, d'élargir la conversation. Le rythme de l’innovation augmente et ne ralentit pas. L'avenir est plus proche que vous ne le pensez.

Rubenking : Merci, Rik!