Directrice de l'agence US chargée de la cybersécurité : « Les créateurs de logiciels non sécurisés sont les véritables coupables des cybercrimes »

Jen Easterly rappelle la nécessité d'avoir des produits sûrs

Dans un discours donné à l'occasion de la conférence mWise de Mandiant, Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, a désigné les véritables coupables des cybercrimes : les créateurs de logiciels non sécurisés. Easterly a souligné que les fournisseurs de technologies qui livrent des logiciels bogués et vulnérables sont les véritables responsables des attaques cybernétiques. Selon elle, ces produits défectueux ouvrent la porte aux cybercriminels pour attaquer leurs victimes. Elle a également critiqué l’industrie pour avoir trop souvent blâmé les victimes de ne pas avoir appliqué les correctifs assez rapidement, au lieu de demander pourquoi les logiciels nécessitent autant de correctifs urgents.

Les fournisseurs de logiciels qui livrent des codes bogués et non sécurisés doivent cesser de permettre aux cybercriminels qui exploitent ces vulnérabilités de voler leurs victimes, a déclaré Jen Easterly, directrice de l'agence gouvernementale américaine chargée de la cybersécurité et de la sécurité des infrastructures.

« La vérité, c'est que les vendeurs de technologie sont les personnages qui exploitent les vulnérabilités pour voler les victimes : Les vendeurs de technologie sont les personnages qui intègrent des problèmes » dans leurs produits, ce qui « ouvre ensuite la porte aux méchants pour attaquer leurs victimes », a déclaré Easterly lors d'un discours prononcé à la conférence mWise de Mandiant.

La nécessité de produits plus sûrs

Easterly a insisté sur le fait que nous n’avons pas un problème de cybersécurité, mais un problème de qualité logicielle. Elle a appelé à une demande accrue de produits sécurisés plutôt que de nouveaux produits de sécurité. Elle a également critiqué la tendance à glamouriser les gangs de cybercriminels avec des noms poétiques.

Easterly a également exhorté le public à cesser de « glorifier » les gangs criminels en leur donnant des noms poétiques. Pourquoi pas « Scrawny Nuisance » ou « Evil Ferret », a-t-elle suggéré.

Même le fait d'appeler les failles de sécurité « vulnérabilités logicielles » est trop indulgent, a-t-elle ajouté. Cette expression « dilue vraiment la responsabilité ». Nous devrions les appeler « défauts de produit » », a déclaré Easterly. Et au lieu d'accuser automatiquement les victimes de ne pas avoir corrigé leurs produits assez rapidement, « pourquoi ne pas se demander : pourquoi les logiciels nécessitent-ils autant de correctifs urgents ? La vérité, c'est qu'il faut exiger davantage des vendeurs de technologie : Nous devons être plus exigeants envers les fournisseurs de technologie ».

Si tous les participants à la conférence annuelle sur l'infosécurité bénéficient de la sécurité de l'emploi, a plaisanté Easterly, le rôle de l'industrie est également de rendre plus difficile la compromission des systèmes par les malfaiteurs.


« Nous n'avons pas de problème de cybersécurité, mais un problème de qualité des logiciels »

« Malgré une industrie de la cybersécurité qui pèse plusieurs milliards de dollars, le problème de la qualité des logiciels se chiffre toujours à plusieurs milliards de dollars, ce qui entraîne un problème mondial de cybercriminalité de plusieurs milliards de dollars », a déploré Easterly. Alors que personne n'achèterait une voiture ou ne prendrait l'avion « à ses risques et périls », c'est ce que nous faisons tous les jours avec les logiciels qui sont à la base des infrastructures essentielles des États-Unis, a-t-elle ajouté.

« Malheureusement, nous avons succombé au mythe de l'exceptionnalisme technologique », a déclaré Easterly. « Nous n'avons pas de problème de cybersécurité, mais un problème de qualité des logiciels. Nous n'avons pas besoin de plus de produits de sécurité, nous avons besoin de produits plus sûrs.

Près de 200 entreprises ont signé l'engagement Secure by Design

Easterly adopte cette posture depuis qu'elle a pris la tête de l'agence américaine de cyberdéfense. Elle a tendance à le faire entendre plus fort lors d'événements industriels, comme la conférence annuelle RSA, où elle a déclaré aux participants qu'un code sécurisé « est le seul moyen de faire des ransomwares et des cyberattaques une anomalie choquante ».

Naturellement, s'il était facile d'écrire un code irréprochable, on le ferait sans faute. Certains développeurs sont manifestement négligents ou naïfs, ce qui entraîne des vulnérabilités et d'autres bogues, et il arrive que des humains compétents, animés des meilleures intentions, commettent tout simplement des erreurs. Quoi qu'il en soit, Easterly n'est pas satisfait du taux de défauts actuel.

Toujours au RSAC, près de 70 grands noms (dont AWS, Microsoft, Google, Cisco et IBM) ont signé l'engagement Secure by Design de la CISA, qui consiste à « s'efforcer de bonne foi d'atteindre » sept objectifs en matière de logiciels sécurisés dans un délai d'un an, et d'être en mesure de montrer leurs progrès de manière mesurable.

Lors de la conférence mWise, Easterly a indiqué que ce nombre était passé à près de 200 fournisseurs.

Mais l'engagement reste volontaire, de sorte que les éditeurs de logiciels qui ne respectent pas ses lignes directrices (telles que l'augmentation de l'utilisation de l'authentification multifactorielle dans leurs produits et la réduction des mots de passe par défaut) ne seront pas sanctionnés s'ils l'ignorent.

Easterly souhaite que cela change. Elle a suggéré aux acheteurs de technologie d'utiliser leur pouvoir d'achat pour faire pression sur les fournisseurs de logiciels, en leur demandant s'ils ont signé l'engagement (et, espérons-le, s'ils ont fait plus que mettre de l'encre sur le papier en termes de construction de produits sécurisés dès la conception).

À cette fin, la CISA a publié des conseils que les organisations qui achètent des logiciels peuvent utiliser, ainsi que des questions qu'elles devraient poser aux fabricants, afin de mieux comprendre s'ils accordent la priorité à la sécurité dans le cycle de vie du développement des produits.

« Utilisez votre voix, jouez un rôle actif, utilisez votre pouvoir d'achat pour faire progresser la sécurité dès la conception, en l'exigeant », a insisté Easterly.


CrowdStrike, l'illustration parfaite de ses propos ?

Des anciens employés révèlent que « le contrôle qualité ne faisait pas partie de notre processus »

Les ingénieurs logiciels de l'entreprise de cybersécurité CrowdStrike se sont plaints de délais trop courts, de charges de travail excessives et de problèmes techniques croissants auprès de leurs supérieurs pendant plus d'un an, avant qu'une panne catastrophique de son logiciel ne paralyse les compagnies aériennes et ne mette hors service les services bancaires et autres pendant des heures.

« La vitesse était la chose la plus importante », a déclaré Jeff Gardner, concepteur principal de l'expérience utilisateur chez CrowdStrike, qui a déclaré avoir été licencié en janvier 2023 après avoir travaillé deux ans dans l'entreprise. « Le contrôle de la qualité ne faisait pas vraiment partie de notre processus ou de nos conversations ».

Les problèmes ont été soulevés lors de réunions, dans des courriels et lors d'entretiens de fin d'emploi, ont expliqué d'anciens employés aux médias. 24 anciens ingénieurs en informatique, de cadres et d'autres membres du personnel ont décrit un lieu de travail où les dirigeants privilégiaient la rapidité au détriment de la qualité, où les travailleurs n'étaient pas toujours suffisamment formés et où les erreurs de codage et d'autres tâches se multipliaient. Un ancien cadre supérieur a déclaré avoir assisté à de nombreuses réunions au cours desquelles le personnel avertissait les dirigeants de l'entreprise que CrowdStrike « laisserait tomber » ses clients en mettant sur le marché des produits qui ne pourraient pas être pris en charge.

Sur les 24 anciens employés qui ont parlé à Semafor, 10 ont déclaré avoir été licenciés ou renvoyés et 14 ont dit être partis de leur propre chef. L'un d'entre eux travaillait encore dans l'entreprise cet été. Trois anciens employés ne sont pas d'accord avec les récits des autres. Joey Victorino, qui a passé un an dans l'entreprise avant de la quitter en 2023, a déclaré que CrowdStrike était « méticuleux dans tout ce qu'il faisait ».


Conséquences désastreuses

En juillet 2024, une mise à jour logicielle défectueuse a provoqué l’une des plus grandes pannes informatiques de l’histoire, mettant hors service 8,5 millions d'ordinateurs et coûtant aux...