Dans un hall d'exposition à Helsinki, un hacker qui se fait appeler « The Mask Guy » s'installe devant son ordinateur, entouré d'un groupe d'informaticiens qui s'affairent tous fébrilement à pirater un système de surveillance test de KONE. Leur objectif est clair : contourner les mécanismes de défense de KONE et paralyser le système.
Ces génies de l'informatique, talentueux et souvent anonymes, viennent d'horizons très divers, mais ils partagent une passion commune : trouver des moyens de s'introduire dans des appareils connectés, des services et des systèmes embarqués, quelle que soit la sécurité que leurs administrateurs leur attribuent.
Le plan de cybersécurité n'est pas un objectif ponctuel, mais un processus continu.
Ce qui distingue ce groupe, c'est qu'il est connu dans la cybercommunauté sous le nom de « white hats » ou « hackers bienveillants », c'est-à-dire comme des informaticiens animés par des motivations éthiques. Que ce soit par plaisir, par appât du gain ou pour des raisons de prestige, leur motivation consiste à détecter les failles des systèmes connectés, puis à collaborer avec leurs exploitants afin de renforcer la sécurité de ces systèmes et d’écarter ainsi les « méchants », les « Black Hats ».
C'est pourquoi des entreprises, des experts en cybersécurité et des hackers éthiques se sont réunis à Helsinki à l'occasion de l'événement annuel Disobey Nordic Security Event afin d'échanger leur expertise et de participer à des concours. Lors du concours « Capture the Flag (CTF) », co-sponsorisé par KONE, des équipes de hackers « white hats » s'affronteront pour trouver et exploiter une faille dans un système de surveillance test de KONE, afin que l'entreprise puisse acquérir des connaissances toujours plus approfondies et garder une longueur d'avance sur les attaquants.
Pour les hackers, des événements comme Disobey ne sont pas seulement l’occasion de « sensibiliser à la sécurité », explique « The Mask Guy », mais aussi d’échanger et de collaborer avec d’autres « personnes éthiques, positives et coopératives ».
Pourquoi le piratage éthique est-il si important ?
Le piratage éthique est une nécessité dans le monde actuel, car les cyberattaques menées par des pirates malveillants ou « black hat » ont explosé.
Des études menées par Check Point Software Technologies montrent que les cyberattaques contre les entreprises ont augmenté de 50 % entre 2020 et 2021. De plus, le coût des cyberattaques augmente – tant pour les entreprises que, en fin de compte, pour leurs clients, le coût moyen d’une fuite de données étant estimé à 4,35 millions de dollars pour 2022.
Les produits et services étant de plus en plus interconnectés, les clients ont plus que jamais besoin d’être assurés que les entreprises prennent toutes les mesures possibles pour se protéger et protéger leurs clients contre les acteurs malveillants.
« Les pirates informatiques peu scrupuleux disposent d’une multitude de vecteurs d’attaque leur permettant de s’en prendre à n’importe quelle entreprise – en particulier celles qui n’investissent pas dans leurs pratiques de sécurité et ne les améliorent pas en permanence », explique Laura Kankaala, responsable du renseignement sur les menaces chez la société finlandaise F-Secure, une entreprise phare du secteur de la cybersécurité et conseillère régulière de KONE.
« Ils attaquent via une application web vulnérable, un service cloud mal configuré, une identité mal protégée, du personnel non formé victime d’attaques de phishing par e-mail, ou dans les cas où l’entreprise n’a pas mis en place à l’échelle de l’entreprise des paramètres de sécurité fondamentaux tels que l’authentification multifactorielle. »
Kankaala, elle-même hackeuse éthique expérimentée, compare une cybersécurité efficace à un puzzle composé de nombreuses pièces. Celui-ci comprend traditionnellement les experts informatiques de l’entreprise, des consultants en sécurité de premier ordre, des politiques internes éprouvées et des formations. Récemment, cependant, l’intégration de hackers « bienveillants » qui collaborent au sein de votre équipe est devenue un outil inestimable dans votre boîte à outils.
« Même dans ce cas, il est important de comprendre que le fait d’écarter les hackers non éthiques et criminels est le résultat d’un plan de cybersécurité complet, et pourtant, le plan lui-même n’est pas un objectif, mais plutôt un parcours continu », ajoute Kankaala.
Mise en place d'une excellence globale dans le domaine de la cybersécurité
Revenons au Disobey CTF Challenge : le hacker éthique « The Mask Guy » – qui utilise un pseudonyme en raison de son métier principal d’expert en IoT au sein d’une grande entreprise de cybersécurité – élabore avec son équipe des stratégies visant à pénétrer dans le système de démonstration de KONE en utilisant toutes les astuces imaginables, afin d’en prendre le contrôle en premier et de remporter le concours.
Antti Salminen, expert en sécurité des applications chez KONE, observe ces hackers par-dessus leur épaule et sourit devant l’ingéniosité de la programmation et l’impressionnante capacité à résoudre les problèmes dont ils font preuve.
« KONE a toujours pris très au sérieux la cybersécurité et la menace que représentent les hackers », déclare Salminen. « Nous voulons mener ce combat selon nos propres règles, et nous avons ainsi compris que l’un des meilleurs moyens d’y parvenir consiste à jeter un pont entre KONE et la communauté des white hats afin d’établir une collaboration plus étroite. »
« L'événement Disobey offre un cadre idéal pour jeter ces ponts. »
Outre ces grands événements, KONE propose également un programme de récompenses financières, appelé « Bug Bounty », dans le cadre duquel des hackers éthiques invités sont chargés d'examiner les services et les produits de l'entreprise afin de détecter des failles non identifiées.
KONE a toujours pris très au sérieux la question de la cybersécurité et la menace que représentent les pirates informatiques.
Ces programmes de prime aux bogues sont non seulement devenus monnaie courante ces dernières années au sein des organisations des secteurs privé et public, mais ils sont désormais considérés comme une bonne pratique émergente pour garantir une cybersécurité solide. En effet, des formations et des certifications formalisées sont désormais proposées, comme par exemple le programme « Certified Ethical Hacker » de l’EC-Council ainsi qu’un programme de certification en trois parties à l’Université de Washington aux États-Unis.
Salminen souligne toutefois qu’il n’y a pas de substitut au fait de disposer, au sein même de l’entreprise, d’une équipe interne de spécialistes de la cybersécurité de premier ordre.
« Par le passé, une entreprise comme KONE, qui transporte des personnes, n’était peut-être pas le premier endroit où un spécialiste de la cybersécurité aurait cherché à faire carrière. Mais cela est en train de changer. Nous sommes plus que jamais en ligne avec nos produits et services, et la cybersécurité est une priorité absolue. C’est pourquoi nous nous efforçons d’attirer les meilleurs talents du secteur en matière de cybersécurité. »
L'engagement de KONE en matière de cybersécurité a été récompensé en 2023, lorsque l'entreprise a été la première du secteur à obtenir la certification de cybersécurité selon la norme CEI 62443 pour ses ascenseurs de la classe DX, ainsi que la certification ISO 27001 pour ses services numériques, y compris les services connectés KONE 24/7.
Un avantage pour les clients de KONE… et les « White Hats »
La question reste donc posée : « The Mask Guy » et son équipe de hackers éthiques ont-ils réussi leur pari, ou la cyberforteresse du système de démonstration de KONE a-t-elle tenu bon ?
« Oui… nous avons capturé le drapeau », déclare « The Mask Guy » avec un air impassible. « Cela n’a pas été facile, mais notre équipe a trouvé un moyen d’obtenir un accès root au système. »
Ils remportent ainsi la première place du concours Disobey CTF 2023.
Pour KONE, la faille exploitée par les hackers a fourni de précieuses informations sur la cybersécurité, qui pourront être mises à profit à l’avenir.
« Ce fut une formidable expérience d’apprentissage pour nous », souligne Salminen, « et la cyber-résilience de notre système de surveillance de démonstration a fait ses preuves – du moins la plupart du temps. »
« Pour KONE, l’expérience acquise lors de Disobey a contribué à démystifier la communauté des hackers white hat et nous sert de cadre pour collaborer plus étroitement à l’avenir et renforcer la cybersécurité de nos produits et services destinés à nos clients », ajoute Salminen.
Petit glossaire sur la cybersécurité
- Phishing : tentative frauduleuse visant à inciter une personne à divulguer des informations sensibles en se faisant passer pour une entité de confiance, souvent par e-mail.
- Malware : logiciel malveillant conçu pour endommager ou perturber des systèmes informatiques, ou pour y accéder sans autorisation.
- Ransomware : forme de logiciel malveillant qui bloque l'accès des utilisateurs à leurs fichiers ou appareils et exige un paiement pour le rétablir.
- IoT : Internet des objets – réseau d'appareils connectés entre eux (tels que les appareils domestiques intelligents, les appareils portables, les capteurs industriels) qui communiquent et échangent des données via Internet.
- Vulnérabilité : une faille ou une erreur dans un système, un réseau ou une application qui pourrait être exploitée par des attaquants.
- OT : l'Operational Technology (technologie opérationnelle) désigne le matériel et les logiciels utilisés pour surveiller et contrôler les appareils physiques, les processus et les infrastructures dans des secteurs tels que la fabrication et les transports.
