Lorsque la sécurité fait la une des journaux, ce n'est généralement pas pour des raisons positives. Qu'il s'agisse de la dernière violation de données ou du scandale de la vie privée, vous avez l'impression que rien ne va plus. Cela n'aide pas que les grandes entreprises et les gouvernements du monde entier sapent continuellement votre sécurité et votre confidentialité. Cependant, derrière tous les gros titres se cachent des experts en sécurité, des chercheurs et des amateurs qui travaillent dur pour rendre le monde plus sûr.
Marcus Hutchins, qui porte le pseudonyme de MalwareTech, a vu sa vie bouleversée en une seule journée en mai 2017. Il avait prêté une attention particulière à l'attaque du rançongiciel WannaCry qui paralysait les services publics du monde entier. Après avoir enregistré le domaine du serveur de contrôle, le ransomware a été stoppé net.
Hutchins a acquis une renommée internationale après que les tabloïds britanniques ont publié son vrai nom à la suite de l'attaque. Originaire du Royaume-Uni, il réside maintenant aux États-Unis après son arrestation alors qu'il se rendait à la conférence sur la sécurité DEF CON sur des accusations fédérales liées au piratage.
Sécuriser un logiciel, c'est bien beau, mais il néglige une faille de sécurité majeure :les personnes. L'ingénierie sociale est l'utilisation de la tromperie pour manipuler les autres afin qu'ils divulguent des informations personnelles ou confidentielles. Dans de nombreux cas, les victimes ne sont même pas au courant de l'attaque, ce qui rend difficile la défense contre. Votre lieu de travail a probablement essayé de vous éduquer contre ces attaques en ne tenant pas la porte ouverte à quelqu'un, par exemple.
Sophie Daniel, sous le nom de Jek Hyde, fait partie des testeurs d'intrusion les plus remarquables, ayant tweeté en direct un test physique en 2017. Les organisations engagent Sophie, et d'autres comme elle, pour s'introduire dans leur entreprise et rendre compte de leurs découvertes. Ce travail est généralement entouré de secret, mais Sophie, une ancienne journaliste, raconte ses expériences en offrant un aperçu fascinant de ce monde caché.
Si vous avez regardé Mr Robot de USA Network, vous avez peut-être ignoré ce compte en tant que marketing de guérilla pour l'émission bien accueillie. Cependant, le nom et le pseudo Twitter (une référence au collectif de piratage fictif de l'émission) ne sont qu'un hommage. Au lieu de cela, ce compte appartient à un chercheur français en sécurité, Robert Baptiste. Il fait souvent honte publiquement aux entreprises de reconnaître et de corriger les failles de sécurité.
Ceci est connu sous le nom de piratage chapeau gris, où les méthodes sont discutables mais l'intention n'est pas malveillante. Leurs efforts ont donné des résultats très médiatisés. Après avoir rendu public les failles de l'application de messagerie indienne Kimbho, l'histoire a été reprise par les médias internationaux, dont la BBC, et l'application a été retirée.
Les gouvernements ont une réputation d'incompétence technologique. La bureaucratie et le manque d'investissement ont tendance à étouffer l'innovation, créant des produits surbudgétisés, sous-soutenus et peu sûrs. Le problème n'est pas passé inaperçu, ce qui a conduit la General Services Administration (GSA) des États-Unis à lancer 18F, une agence de services numériques pour les organisations gouvernementales.
Kimberly Dowsett est architecte de sécurité et répondeur aux incidents pour 18F. La prévention des attaques contre les services gouvernementaux est une partie essentielle de son travail. Parallèlement, elle a développé une politique de divulgation des vulnérabilités pour la GSA, qui guide les chercheurs sur la manière de signaler les vulnérabilités au gouvernement américain.
Ces jours-ci, les conventions de sécurité et de piratage sont à la pelle, mais cela n'a pas toujours été le cas. En 1993, Jeff Moss, diplômé en justice pénale, a organisé une fête de départ pour un ami. Cependant, quand son ami n'a pas pu venir, au lieu d'arrêter, Jeff a invité ses amis hackers à Las Vegas.
Il a été contraint d'organiser une rencontre l'année suivante, transformant finalement DEF CON en un événement annuel. DEF CON est devenu un incontournable du monde de la technologie avec 22 000 personnes participant à DEF CON 24 en 2016.
Sans surprise, DEF CON a souvent eu une opinion moins que favorable des employés fédéraux --- c'est le même événement qui organisait après tout un concours "Spot The Fed". Cela a commencé à changer lorsque l'avocate de la FTC, Whitney Merrill, a cofondé le Crypto &Privacy Village de DEF CON. Le village organise des événements interactifs et des présentations autour de la cryptographie et de la confidentialité parallèlement à l'événement principal.
Son implication dans le Crypto Village n'est pas sans précédent --- Le travail de Merrill lui a valu de recevoir le prix Women in Security 2017 et d'être reconnue comme l'une des meilleures femmes en sécurité par CyberScoop. Ses contributions à la FTC ont permis d'obtenir une amende de 24 millions de dollars de Publishers Business Services pour pratiques commerciales trompeuses. On peut désormais la trouver chez Electronic Arts (EA) en tant que conseillère en matière de confidentialité, de commerce électronique et de protection des consommateurs.
Les fuites d'Edward Snowden ont prouvé que la sécurité nationale, la sécurité en ligne et la politique sont étroitement liées. Les documents ont révélé les programmes de surveillance audacieux de la NSA et forcé la sécurité et la confidentialité dans le courant dominant. Il est donc surprenant que Matt Tait, un ancien spécialiste de la sécurité pour le GCHQ équivalent de la NSA au Royaume-Uni, soit devenu un expert en sécurité de premier plan.
Tait, mieux connu sous le nom de Pwn All The Things, qui a également travaillé pour Project Zero de Google, est maintenant chercheur principal en cybersécurité à l'Université du Texas. Ses recherches explorent l'intersection entre la politique et la sécurité. Après avoir décrit le moment où il a été approché pour coopérer avec la Russie afin d'influencer les élections américaines de 2016, il a été interviewé par Robert Muller du FBI.
Taylor Swift est surtout connue comme l'icône de la pop vendue à plusieurs millions d'exemplaires, célèbre pour ses singles Shake It Off et Look What You Made Me Do. Mais dans les milieux de la sécurité, elle est surtout connue par son alter-ego Twitter SwiftOnSecurity (SOS). Le compte parodique d'infosec, ouvert en 2014, a touché une corde sensible auprès des professionnels de la sécurité du monde entier. En juin 2018, SOS comptait 229 000 abonnés.
Le succès et la longévité de SOS sont dus au fait que la personne derrière le compte sait de quoi elle parle. Combinant humour, conseils de sécurité et commentaires de l'industrie, SOS a réussi à être toujours d'actualité quatre ans plus tard. On ne sait pas grand-chose sur l'opérateur du compte, et le peu que nous savons provient de leur page À propos. Cependant, leurs fils Twitter sont souvent cités et largement partagés, ce qui suscite de nombreuses discussions et éduque les lecteurs du monde entier.
Le débat sur la vie privée est souvent présenté comme une bataille entre absolus ; les défenseurs d'un côté, les entreprises technologiques de l'autre. Ce qui se perd dans ce récit, ce sont les nombreuses personnes travaillant pour les entreprises technologiques qui se soucient passionnément de leur travail. Étonnamment, c'est également le cas chez Google.
Après avoir obtenu une maîtrise en logique mathématique et informatique théorique, Damien Desfontaines a été embauché par l'équipe d'analyse de YouTube. Cependant, le projet a été annulé, alors Desfontaines est passé à l'équipe de la confidentialité. Parallèlement à son travail de jour chez Google, il prépare un doctorat sur l'anonymisation et écrit sous le nom de TedOnPrivacy.
L'une des expériences les plus décourageantes est d'être nouveau dans quelque chose. Qu'il s'agisse de rencontrer de nouvelles personnes ou de trouver un nouvel emploi, vous pouvez avoir l'impression de ne pas savoir ce que vous faites. C'est une expérience partagée, mais dont les gens ne parlent pas souvent. Sophia McCall, étudiante en gestion de la cybersécurité, va à l'encontre de cette tendance. Son blog a récemment remporté le titre de "Meilleur nouveau blog sur la sécurité en Europe" aux European Cyber Security Blogger Awards.
Le blog est un "journal [de son] parcours de script kiddie en herbe à professionnel de la sécurité de l'information". Elle reconnaît qu'avant d'obtenir son diplôme, elle "ne savait pas comment installer Kali - encore moins la capture de bannière ou SQL Inject". En quelques années seulement, beaucoup de choses semblent avoir changé, et en juin 2018, elle a prononcé sa première conférence à BSides London.
La sécurité peut être intimidante, surtout pour les nouveaux arrivants. Cependant, les débutants n'ont pas à s'inquiéter, car suivre ces six cours en ligne gratuits vous guidera à travers les bases de la cybersécurité. Heureusement, il existe une communauté passionnée d'experts en sécurité qui veulent non seulement rendre le monde plus sûr, mais aussi partager leurs connaissances. Cette liste ne fait qu'effleurer la surface, mais suivre ces dix experts est un bon point de départ.
Bien sûr, si vous souhaitez acquérir des compétences spécifiques telles que le piratage éthique, vous devrez suivre l'un de ces cinq cours. Si vous recherchez des conseils, vous devriez intégrer ces sept forums de sécurité à votre vie en ligne. Vous vous sentez prêt pour la prochaine étape ? Il est peut-être temps que vous visitiez ces dix ressources pour rechercher des emplois en sécurité de l'information.
Crédit image :Gorodenkoff/Depositphotos