Conférence Black Hat 2023 : les sept points essentiels à retenir et les perspectives d’avenir

1 septembre 2023  |  W. Perry Wortman

Le monde de la sécurité s'est récemment réuni à Las Vegas dans le cadre du Black Hat 2023 pour une semaine chargée de formation, de briefings et de présentations de fournisseurs sur tout ce qui touche à la cybersécurité. Bien évidemment, Dashlane était de la partie.

Bien que la conférence ait plu aux amateurs de sécurité de tous horizons et de tous niveaux de compétence, voici les discussions les plus importantes et les questions les plus pertinentes qui donneront le ton de la cybersécurité à l'avenir.

Comme on pouvait s'y attendre, l'IA a été au centre des discussions cette année. Dans son discours d'ouverture, Maria Markstedter, PDG d'Azeria Labs nous a rappelé que l'IA a le pouvoir d'attaquer, de défendre et de contre-attaquer. Cependant, tout comme un humain, elle peut également être dupée en suivant un lien de phishing (il est d'ailleurs temps de passer aux clés d'accès, n'est-ce pas ?). Il est clair que nous n'avons fait qu'effleurer la surface des capacités de l'IA en matière de sécurité offensive et défensive, et ce n'est que le début. 

Comment vous défendre face à une attaque d'ingénierie sociale dans laquelle un bot IA vous appelle et parle exactement comme votre patron ? Rappelez-vous Terminator 2 lorsque le T1000 a imité les parents adoptifs de John ; le Terminator Arnold a contre-attaqué en imitant John et en posant une question au T1000 dont seule la mère pouvait connaître la réponse afin de détecter la supercherie. À mesure que les piratages basés sur l'IA augmentent, il sera plus important que jamais de déterminer avec qui vous communiquez.

Un autre élément phare a été l'importance des données en tant qu'intelligence, par exemple la manière de les utiliser pour former des modèles d'IA et de les exploiter pour prévenir, détecter et répondre aux menaces. Les données sont également un atout, et une grande partie des discussions au Black Hat était axée sur la façon de les protéger et de prévenir les accès non autorisés et les pertes qu'ils peuvent entrainer. Brian Vecci, intervenant pour le compte de Varonis, a déclaré : « les données, c'est comme Jurassic Park : elles se retrouvent dans des endroits auxquels on ne s'attend pas, d'une manière à laquelle on ne s'attend pas, lorsqu'on ne s'y attend pas. »

Les chatbots basés sur l'IA sont en passe de devenir un outil à usage quotidien. Découvrez comment des chatbots basés sur l'IA comme ChatGPT pourraient affecter les emplois.

Même après tant d'années, nous avons toujours du mal à faire de l'identité un élément essentiel de la sécurité. Les identités compromises (les identités humaines, ainsi que celles utilisées par les machines pour communiquer avec d'autres machines) sont et resteront la cause première de la majorité des failles de sécurité. Heureusement, nous voyons maintenant que l'identité est intégrée à presque tous les aspects de la sécurité à mesure que les organisations se modernisent. Des concepts tels que l'analyse comportementale des utilisateurs, zéro trust et le principe du moindre privilège sont beaucoup plus efficaces lorsqu'ils sont abordés sous l'angle de l'identité.

Les leaders de l'industrie ont fait de véritables efforts pour rendre possible un avenir sans mot de passe. Et le phishing, comme toujours, a été un sujet important lors de nombreuses sessions. En raison des failles affectant l'authentification multifacteur, notamment le MFA bombing, la fatigue et le proxying, la MFA n'est plus la méthode absolue pour garantir la sécurité de l'identité comme nous le pensions autrefois. Uber, Microsoft et Twilio ont été victimes de cette nouvelle sorte d'attaque, leur MFA a été contournée.

Kemba Walden, directeur national par intérim de la cybersécurité, a parlé de la Stratégie nationale de cybersécurité et des défis causés par la pénurie de talents en matière de cybersécurité. Le personnel du Bureau du directeur national de la cybersécurité à la Maison-Blanche a été multiplié par six, mais le gouvernement sait qu'il ne peut pas gérer toutes les menaces seul. L'ONCD, la CISA et d'autres agences travaillent désormais en étroite collaboration avec le secteur privé, y compris avec les pirates informatiques. Si vous avez assisté aux précédentes conférences de Black Hat ou DefCon, vous avez certainement remarqué que les fonctionnaires du gouvernement n'étaient pas les bienvenus, il y avait même une compétition « spot the fed » (repérer les fédéraux) pour les identifier et les faire partir. Mais cette année, des responsables fédéraux de haut niveau ont présenté des sessions et même prononcé des discours liminaires. Cette participation montre que les secteurs privé et public reconnaissent qu'ils ont besoin l'un de l'autre pour tenir à distance les attaques d'États-nations de haut niveau et éviter une cyberguerre

Jen Easterly, directrice de la CISA, et Victor Zhora, président adjoint de la division de la cybersécurité de l'Ukraine, ont discuté de l'importance du partenariat entre les États-Unis et l'Ukraine pour combattre les attaques sophistiquées des États-nations. En raison des défis intenses que doit relever l'Ukraine, nous apprenons autant d'eux, qu'eux de nous. Ce qui rend les cyberattaques encore plus réelles, c'est l'idée de « crimes de guerre cybernétique » dont parlait Zhora ; ce sont des cas où les cyberattaques entraînent des pertes humaines, ce qui montre que nous sommes plus éloignés que jamais de l'ère des enfants dans des sous-sols piratant inoffensivement les ordinateurs pour le plaisir.

Il est rassurant de voir autant d'experts en sécurité partager leur savoir sur la façon dont nous pouvons relever ensemble de manière proactive et réactive chaque nouveau défi. Bien que le paysage de la cybersécurité évolue rapidement, nous nous adapterons également.

W. Perry Wortman

En savoir plus