Dans un discours donné à l'occasion de la conférence mWise de Mandiant, Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, a désigné les véritables coupables des cybercrimes : les créateurs de logiciels non sécurisés. Easterly a souligné que les fournisseurs de technologies qui livrent des logiciels bogués et vulnérables sont les véritables responsables des attaques cybernétiques. Selon elle, ces produits défectueux ouvrent la porte aux cybercriminels pour attaquer leurs victimes. Elle a également critiqué l’industrie pour avoir trop souvent blâmé les victimes de ne pas avoir appliqué les correctifs assez rapidement, au lieu de demander pourquoi les logiciels nécessitent autant de correctifs urgents.Les fournisseurs de logiciels qui livrent des codes bogués et non sécurisés doivent cesser de permettre aux cybercriminels qui exploitent ces vulnérabilités de voler leurs victimes, a déclaré Jen Easterly, directrice de l'agence gouvernementale américaine chargée de la cybersécurité et de la sécurité des infrastructures.
« La vérité, c'est que les vendeurs de technologie sont les personnages qui exploitent les vulnérabilités pour voler les victimes : Les vendeurs de technologie sont les personnages qui intègrent des problèmes » dans leurs produits, ce qui « ouvre ensuite la porte aux méchants pour attaquer leurs victimes », a déclaré Easterly lors d'un discours prononcé à la conférence mWise de Mandiant.
La nécessité de produits plus sûrs
Easterly a insisté sur le fait que nous n’avons pas un problème de cybersécurité, mais un problème de qualité logicielle. Elle a appelé à une demande accrue de produits sécurisés plutôt que de nouveaux produits de sécurité. Elle a également critiqué la tendance à glamouriser les gangs de cybercriminels avec des noms poétiques.
Easterly a également exhorté le public à cesser de « glorifier » les gangs criminels en leur donnant des noms poétiques. Pourquoi pas « Scrawny Nuisance » ou « Evil Ferret », a-t-elle suggéré.
Même le fait d'appeler les failles de sécurité « vulnérabilités logicielles » est trop indulgent, a-t-elle ajouté. Cette expression « dilue vraiment la responsabilité ». Nous devrions les appeler « défauts de produit » », a déclaré Easterly. Et au lieu d'accuser automatiquement les victimes de ne pas avoir corrigé leurs produits assez rapidement, « pourquoi ne pas se demander : pourquoi les logiciels nécessitent-ils autant de correctifs urgents ? La vérité, c'est qu'il faut exiger davantage des vendeurs de technologie : Nous devons être plus exigeants envers les fournisseurs de technologie ».
Si tous les participants à la conférence annuelle sur l'infosécurité bénéficient de la sécurité de l'emploi, a plaisanté Easterly, le rôle de l'industrie est également de rendre plus difficile la compromission des systèmes par les malfaiteurs.
« Nous n'avons pas de problème de cybersécurité, mais un problème de qualité des logiciels »
« Malgré une industrie de la cybersécurité qui pèse plusieurs milliards de dollars, le problème de la qualité des logiciels se chiffre toujours à plusieurs milliards de dollars, ce qui entraîne un problème mondial de cybercriminalité de plusieurs milliards de dollars », a déploré Easterly. Alors que personne n'achèterait une voiture ou ne prendrait l'avion « à ses risques et périls », c'est ce que nous faisons tous les jours avec les logiciels qui sont à la base des infrastructures essentielles des États-Unis, a-t-elle ajouté.
« Malheureusement, nous avons succombé au mythe de l'exceptionnalisme technologique », a déclaré Easterly. « Nous n'avons pas de problème de cybersécurité, mais un problème de qualité des logiciels. Nous n'avons pas besoin de plus de produits de sécurité, nous avons besoin de produits plus sûrs.
Près de 200 entreprises ont signé l'engagement Secure by Design
Easterly adopte cette posture depuis qu'elle a pris la tête de l'agence américaine de cyberdéfense. Elle a tendance à le faire entendre plus fort lors d'événements industriels, comme la conférence annuelle RSA, où elle a déclaré aux participants qu'un code sécurisé « est le seul moyen de faire des ransomwares et des cyberattaques une anomalie choquante ».
Naturellement, s'il était facile d'écrire un code irréprochable, on le ferait sans faute. Certains développeurs sont manifestement négligents ou naïfs, ce qui entraîne des vulnérabilités et d'autres bogues, et il arrive que des humains compétents, animés des meilleures intentions, commettent tout simplement des erreurs. Quoi qu'il en soit, Easterly n'est pas satisfait du taux de défauts actuel.
Toujours au RSAC, près de 70 grands noms (dont AWS, Microsoft, Google, Cisco et IBM) ont signé l'engagement Secure by Design de la CISA, qui consiste à « s'efforcer de bonne foi d'atteindre » sept objectifs en matière de logiciels sécurisés dans un délai d'un an, et d'être en mesure de montrer leurs progrès de manière mesurable.
Lors de la conférence mWise, Easterly a indiqué que ce nombre était passé à près de 200 fournisseurs.
Mais l'engagement reste volontaire, de sorte que les éditeurs de logiciels qui ne respectent pas ses lignes directrices (telles que l'augmentation de l'utilisation de l'authentification multifactorielle dans leurs produits et la réduction des mots de passe par défaut) ne seront pas sanctionnés s'ils l'ignorent.
Easterly souhaite que cela change. Elle a suggéré aux acheteurs de technologie d'utiliser leur pouvoir d'achat pour faire pression sur les fournisseurs de logiciels, en leur demandant s'ils ont signé l'engagement (et, espérons-le, s'ils ont fait plus que mettre de l'encre sur le papier en termes de construction de produits sécurisés dès la conception).
À cette fin, la CISA a publié des conseils que les organisations qui achètent des logiciels peuvent utiliser, ainsi que des questions qu'elles devraient poser aux fabricants, afin de mieux comprendre s'ils accordent la priorité à la sécurité dans le cycle de vie du développement des produits.
« Utilisez votre voix, jouez un rôle actif, utilisez votre pouvoir d'achat pour faire progresser la sécurité dès la conception, en l'exigeant », a insisté Easterly.
CrowdStrike, l'illustration parfaite de ses propos ?
Des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »
Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.
« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».
Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.
Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».
Conséquences désastreuses
En juillet 2024, une mise à jour logicielle défectueuse a provoqué l’une des plus grandes pannes informatiques de l’histoire, mettant hors service 8,5 millions d'ordinateurs et coûtant aux entreprises du classement Fortune 500 pas moins de 5,4 milliards de dollars de dommages. Les voyageurs ont été bloqués dans les aéroports, les clients ont été privés de leurs comptes bancaires en ligne et les centres d'appel d'urgence ont été mis hors ligne.
L'incident a coûté à CrowdStrike environ 60 millions de dollars en contrats qu'elle avait prévu de conclure au cours du trimestre fiscal qui s'est achevé le 31 juillet, a déclaré le directeur financier Burt Podbere aux analystes lors de la conférence téléphonique sur les résultats du 28 août, au cours de laquelle la société a revu à la baisse ses prévisions de recettes et de bénéfices pour le reste de l'année. Adam Meyers, premier vice-président des opérations de lutte contre les adversaires, témoignera devant le Congrès à la fin du mois.
« Je ne perdrai jamais de vue l'ampleur de l'incident du 19 juillet et je m'engage à faire en sorte que cela ne se reproduise jamais », a déclaré le PDG George Kurtz aux analystes lors de la conférence téléphonique. « Au-delà des excuses, je veux que nos actions soient encore plus éloquentes que nos paroles. Nous nous efforçons de récupérer les clients rapidement, quel que soit l'endroit ou le besoin ».
En clair, cette panne a coûté des milliards de dollars en dommages et a gravement terni la réputation de CrowdStrike. Les clients, autrefois fidèles, ont commencé à remettre en question la fiabilité des produits de l’entreprise.
Conclusion
Le message de Jen Easterly est clair : pour lutter efficacement contre les cybercrimes, il est essentiel de se concentrer sur la qualité des logiciels. En exigeant des produits plus sûrs et en tenant les créateurs de logiciels responsables de leurs défauts, nous pouvons espérer réduire l’impact des cyberattaques et protéger nos infrastructures critiques.
Sources : mWise, CISA (1, 2)
Et vous ?
Que pensez-vous du point de vue de Jen Easterly ? Êtes-vous d'accord avec elle ou non ? Dans quelle mesure ? Pensez-vous que les créateurs de logiciels devraient être tenus légalement responsables des failles de sécurité dans leurs produits ? Pourquoi ou pourquoi pas ? Quels critères devraient être utilisés pour évaluer la sécurité d’un logiciel avant sa mise sur le marché ? Comment les entreprises peuvent-elles équilibrer la rapidité de développement et la sécurité des logiciels ? Avez-vous déjà été victime d’une cyberattaque due à une faille logicielle ? Comment cela a-t-il affecté votre perception des logiciels que vous utilisez ? Quels sont, selon vous, les principaux obstacles à l’amélioration de la qualité des logiciels dans l’industrie technologique ? Pensez-vous que les noms des gangs de cybercriminels influencent la perception publique de la gravité des cyberattaques ? Pourquoi ? Quelles mesures concrètes les gouvernements devraient-ils prendre pour encourager la création de logiciels plus sécurisés ? Comment les entreprises peuvent-elles mieux éduquer leurs employés sur les pratiques de cybersécurité pour minimiser les risques ? Voyez-vous des solutions technologiques émergentes qui pourraient aider à résoudre les problèmes de sécurité logicielle ?Voir aussi :
Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution