Passer au contenu

Pour Facebook, les chercheurs en sécurité ne font pas bien leur travail

Alex Stamos, responsable sécurité du réseau social, pense qu’il faut davantage se consacrer aux problèmes qui touchent une majorité de personnes tous les jours, comme les mots de passe, les spams ou les mises à jour de sécurité.

Invité d’honneur à l’occasion de la vingtième édition de la conférence Black Hat USA, Alex Stamos, responsable de la sécurité informatique chez Facebook, a certainement dû heurter quelques susceptibilités lors de sa « keynote » du 26 juillet.
Certes, il pense que la sécurité informatique a désormais gagné ses lettres de noblesse dans la société, mais il estime que la communauté des hackers et des chercheurs en sécurité – dans laquelle il se compte – n’a pas suffisamment évoluée. Trop souvent, elle se caractérise par un manque d’empathie, un goût exagéré pour la complexité technique et un sentiment de supériorité déplacé.

Résultat : les vrais problèmes des simples utilisateurs que nous sommes ne sont pas bien traités. « C’est vraiment impressionnant parfois de regarder des collègues démontrer, ici, sur scène, un hack totalement incroyable, mais malheureusement ce n’est pas ce que l’on voit dans la vraie vie », explique-t-il.
Selon lui, les problèmes de sécurité de la majorité des utilisateurs sont assez banals : phishing, manque de mise à jour, réutilisation de mots de passe, spam, usurpation d’identité. Des sujets finalement trop peu analysés au regard du nombre de personnes impactées.

Un million de dollars pour la recherche

Pour le dirigeant de Facebook, il faut se focaliser sur les vrais problèmes et essayer de construire des infrastructures plus sécurisées, plutôt que de se gargariser de failles zero day.
Bref, il est grand temps de se consacrer davantage à la défense qu’à l’attaque. Evidemment, le réseau social cherche à montrer l’exemple. « Depuis 2014, nous avons dépensé 250 000 dollars dans notre programme Internet Defense Prize, pour récompenser les meilleurs projets de protection de l’Internet. En 2018, nous allons proposer un million de dollars », annonce Alex Stamos, qui aimerait voir des solutions pour, par exemple, gérer l’oubli d’un mot de passe ou contenir les infections par l’intermédiaire de boîtes email piratées.

La sécurisation des appareils mobiles fait également partie des priorités. « Cette salle est remplie de smartphones haut de gamme à 800 dollars totalement patchés. Mais le monde n’est pas comme cela. Quand vous avez deux milliards d’utilisateurs, vous réalisez qu’il y a des centaines de millions de personnes qui utilisent chaque jour des smartphones qui coûtent entre 50 et 100 dollars et qui sortent des usines avec un Android vieux de plusieurs années. Forcément, ils sont vulnérables à des dizaines de failles. On ne peut pas faire comme si ces gens n’existaient pas ou penser qu’ils ne vaillent pas la peine d’être protégés », souligne-t-il.

La politique, parent pauvre de la sécurité

Un autre secteur d’activité qui manquent de protection est celui de la politique. Les récentes élections de part et d’autre de l’Atlantique ont montré le risque que peuvent constituer les cyberattaques pour le déroulement des campagnes et des élections.
Aussi, Facebook a décidé de participer au projet « Defending Digital Democracy » créé par le Belfer Center de la Harvard Kennedy School of Government. Là encore, il s’agit de trouver des moyens pour que des gens sans aucune appétence pour la sécurité informatique puissent développer une certaine compétence en la matière. Car au-delà des attaques, le problème de la sécurité se situe toujours et encore entre le clavier et le fauteuil…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN