[VIDEO] Cybers��curit�� : ��C'est un combat permanent entre ceux qui construisent des choses et ceux qui les d��truisent��

Dustin Plantholt a rejoint sur sc��ne des pan��listes qui travaillent dans le domaine de la cybers��curit�� et qui “ont contribu�� �� emp��cher les virus de tout d��truire”

Dans cette table ronde lors de l’��v��nement SiGMA/AGS �� Dubai, les pan��listes Dr. Jason Gamage (RSSI de Goldilock), Robert Grant (pr��sident et fondateur de Crown Sterling) et Simas Simanauskas (directeur des partenariats chez ConnectPay) ont rejoint notre mod��rateur Dustin Plantholt (fondateur et PDG de Crypterns) pour discuter de la cybers��curit�� et des hackers. Pourquoi les syst��mes de certaines des plus grandes entreprises du monde ont-ils ��t�� pirat��s ?

Grant a ouvert la discussion en expliquant que cela pourrait ��tre multifactoriel. Selon lui, le monde y est habitu�� : nous voyons cela tous les jours. Grant se concentre sur la cryptographie et le cryptage. Il conseille d’investir dans un excellent syst��me qui ne repose pas sur le chiffrement par blocs car, une fois qu’il est d��chiffr��, tous les fichiers seront perdus.

Grant explique que nous avons besoin d’un nouveau type de protocole cryptographique qui ne soit pas li�� �� tous ces fichiers. Il donne l’exemple de la violation de donn��es d’Equifax ; les dossiers de 400 millions de personnes ont ��t�� perdus. Le mod��rateur, Dustin Plantholt, invite ensuite les participants �� r��pondre �� une autre question importante concernant l’importance des donn��es. S’ils n’ont rien �� cacher ou si ces donn��es n’ont que peu de valeur, devraient-ils s’en inqui��ter ?

Simas Simanauskas, directeur des partenariats chez ConnectPay, estime que cela est primordial. La s��curit�� des donn��es, pour les institutions financi��res, est aussi li�� �� leur r��putation. Celle-ci ne peut tout simplement pas ��tre compromise.

C’est une question de conformit��. Garder la main sur la s��curit�� des donn��es est primordial. Simanauskas nous dit que c’est pour cela qu’ils (chez ConnectPay) prennent cela tr��s au s��rieux. ConnectPay est certifi�� ISO 27001 et l’entreprise a mis en place de nombreux processus, tels que la certification PSI DSS.

Les institutions financi��res et le secteur FinTech font partie des secteurs les plus cibl��s au monde. Il s’agit d’un v��ritable combat, poursuit-il : les pirates ne doivent r��ussir qu’une seule fois, et vous 100% du temps.

Regardez l’int��gralit�� du panel :

Explication d��taill��e du terme Blockchain

Plantholt demande �� Robert Grant de d��finir le terme .

Grant poursuit en disant que c’est curieux parce que si vous parlez �� la plupart des gens du monde ext��rieur et leur demandez ce qu’est la blockchain, ils pensent qu’elle est crypt��e. Si vous faites un sondage et demandez aux consommateurs, ils connaissent peut-��tre le mot d��centralisation, mais ils ne savent pas vraiment ce que cela signifie.

Ici, les gens savent qu’il s’agit d’un grand livre distribu�� et qu’il y a tout un processus de gouvernance qui l’entoure, qui est unique et diff��rent. Il existe de nombreux autres aspects d’un enregistrement historique que vous ne pouvez pas modifier, comme le fait qu’il est immuable.

Ce sont tous des aspects fondamentaux de l’excitation de l’industrie de la blockchain. Du c?t�� des consommateurs, les gens ne comprennent toujours pas.

Je pense que c’est l’une des choses que nous devons surmonter. Sur cette question de s��curit��, en tant qu’industrie dans son ensemble, nous nous sommes habitu��s �� croire en tous les organismes de normalisation qui existent d��j��, mais le probl��me est que les organismes de normalisation ne peuvent pas suivre le rythme d’innovation de ce hacker qui n’a qu’�� r��ussir une fois.

Consid��rant le NITS le National Institute of Technology Standards), qui ont pass�� les cinq derni��res ann��es �� travailler pour r��soudre le probl��me quantique des ordinateurs quantiques. Entre-temps, il y a eu de nombreux nouveaux d��veloppements.

IBM, plus tard cette ann��e et dans la premi��re partie de l’ann��e prochaine, va lancer plus de 1000 ordinateurs quantiques qubit, avec lesquels nous pourrons casser au moins 99% des protocoles de profilage cryptographiques actuels qui sont d��j�� disponibles sur la blockchain et �� travers les syst��mes bancaires.

Avant d’avoir ce r?le, Robert ��tait le pr��sident d’une tr��s grande organisation et ce qu’il a vu, il y avait des menaces constantes tout autour de lui. Pourquoi pensez-vous qu’il est maintenant en mesure de faire ce changement?? demande Dustin.

“Ma perspective historique est la suivante. J’��tais PDG de grandes entreprises. J’��tais PDG de Bausch + Lomb chirurgicale, la soci��t�� pharmaceutique de soins oculaires. J’��tais ��galement pr��sident d’Allegan m��dical, et j’ai lanc�� des produits majeurs comme Botox et Juvederm, qui sont ensuite devenus des noms familiers.

“C’est donc mon genre de promotion marketing. J’ai toujours ��t�� tr��s int��ress�� et j’ai toujours aim�� les math��matiques. Lorsque j’ai d��couvert un mod��le de nombres premiers en 2018 et que je l’ai publi��, cela m’a incit�� �� me plonger ��galement dans la question de l’informatique quantique. en tant que solutions g��om��triques et j’��tais assez int��ress�� de voir que la semaine derni��re, il y avait un article qui est sorti dans Ars Technica sur la fa?on dont une approche g��om��trique a ��t�� utilis��e pour casser les cryptages dans la nature, ce qui ��tait plut?t satisfaisant parce que c’est l’une des choses Je dis depuis quelques ann��es.

C’est quelque chose qui me passionne.”

La Blockchain peut-elle ��tre hack��e ?

Simas poursuit en disant que bien qu’il ne soit pas un expert technique de la technologie blockchain, il pense que tout peut ��tre pirat��, c’est donc une lutte constante entre ceux qui construisent des choses et ceux qui les d��truisent.

Le Dr Jason Gamage, CISO de Goldilock, se joint ensuite �� la conversation. Gamage est dans le domaine de la s��curit�� depuis 32 ans. Il poursuit en expliquant que le cryptage peut ��tre bris��. Des vuln��rabilit��s peuvent se glisser dans le code ou se trouver dans le code et provoquer une br��che.

Des erreurs typiques sont commises et l’approche consistant �� former des personnes qui codent pour le faire en toute s��curit�� est nouvelle. Pendant la majeure partie de sa carri��re, Gamage a pass�� la plupart de son temps avec des ��quipes de s��curit�� des applications, d��veloppant un expert en s��curit�� au sein de cette ��quipe afin qu’il puisse ��tre le h��ros.

“J’ai essay�� de changer le paradigme de la fa?on dont nous envisageons la s��curit�� des ensembles. Nous avons des informations sensibles, similaires �� la blockchain – avons-nous vraiment besoin de les garder en ligne tout le temps, avons-nous vraiment besoin d’��tre sur Internet ?” il demande.

La deuxi��me question est : doit-il ��tre sur Internet tout le temps ? Si la r��ponse est non, pourquoi le mettre dans le cloud?? Ce que les gens font, c’est se concentrer sur le contr?le d’acc��s et pouvoir le chiffrer et le mettre l��. Ces choses peuvent ��tre viol��es. Ils peuvent ��tre contourn��s. SolarWinds est un excellent exemple de la fa?on dont un ?tat-nation peut contourner le contr?le des ports, ce qui vous permet d’entrer dans des trous d’air. Ces entrefers se trouvent g��n��ralement l�� o�� il s’agit d’une d��connexion manuelle d’Internet.

C’est quelque chose qui ��tait et est toujours utilis�� dans de nombreux syst��mes de contr?le industriels, mais pas g��n��ralement avec des informations sensibles. Aujourd’hui, tout est bas�� sur le contr?le d’acc��s et cela signifie un mauvais contr?le. Avoir un mauvais contr?le signifie qu’il peut ��tre contourn�� comme dans SolarWinds.

L’une des id��es avanc��es par la soci��t�� de Ganage est de cr��er une solution qui d��connecte l’information d’Internet et qui a une mani��re diff��rente de la connecter.

Mettant la Blockchain en perspective, Ganage explique que si vous avez un portefeuille, vous voudrez probablement pouvoir stocker vos fragments �� plusieurs endroits diff��rents afin de pouvoir les prot��ger. L’un de ces endroits devrait ��tre quelque chose comme Goldilock.

En tant que CISO de Goldilock, il explique qu’ils ont une solution o�� vous pouvez mettre l’un d’entre eux en mesure de le d��connecter compl��tement d’Internet. Vous ��tes donc la seule personne �� revenir pour le d��verrouiller puisque vous devez passer un appel t��l��phonique ou un SMS pour pouvoir l’activer.

Pour acc��der �� votre portefeuille, vous devez ��tablir cette autre communication hors bande, qui n’est en aucun cas connect��e �� Internet, sinon elle resterait d��connect��e.

C’est une id��e qui ne peut pas ��tre pirat��e par l’informatique quantique. Il ne peut pas ��tre viol�� car il n’est pas connect�� �� Internet, car lorsque vous avez fini de l’utiliser, vous le d��connectez.

Pour en revenir �� la question de Plantholt de savoir si la blockchain peut ��tre viol��e, Robert Grant, qui a fait pas mal de recherches sur le sujet, explique que la fonction de transition d’��tat a un cryptage et a deux aspects de ce cryptage. M��me les personnes qui travaillent dans la blockchain ne comprennent pas toujours parfaitement le fonctionnement du cryptage.

Les deux aspects du chiffrement dans la cybers��curit��

Les deux aspects du chiffrement sont la cl�� sym��trique et la cl�� asym��trique. La cl�� sym��trique peut ��galement ��tre appel��e norme de chiffrement avanc�� AES ou SHA-256 et utilise un chiffrement par bloc tronqu�� �� 256 bits.

D’autre part, il existe des cl��s asym��triques qui utilisent la cryptographie �� cl�� publique pour envoyer des informations �� une autre partie. C’est dans cette cl�� asym��trique que r��side le vrai risque quantique, puisqu’il n’est pas anodin pour un ordinateur standard, voire un supercalculateur, de factoriser un tr��s grand nombre.

Si un ordinateur quantique ou un attaquant intercepte avec la cl�� publique et qu’il est capable de trouver tr��s rapidement les deux facteurs ou l’exponentiation de la courbe elliptique, alors il pourrait le casser et rediriger les fonds vers eux.

Les ordinateurs quantiques sont cens��s ��tre capables de d��chiffrer les chiffrements en temps polynomial, qui est plusieurs fois plus rapide que le temps exponentiel. Dans un article sur ce sujet, Grant poursuit en disant que oui, vous pouvez intercepter des messages ou entrer dans un portefeuille qui n’est pas crypt�� quantique avec la cryptographie �� cl�� publique standard.

Il s’agit d’une adresse �� cl�� publique tr��s simple �� utiliser, explique-t-il. Il n’est pas r��sistant �� une attaque quantique. Gamage a d��clar�� que cela co?tait assez cher, mais l’une des raisons pour lesquelles vous souhaitez int��grer le cryptage est le retour sur investissement pour le pirate informatique typique. Si l’investissement est trop ��lev��, le retour sur investissement sera trop ��lev��.

Pour clore la discussion, Gamage a d��clar�� que l’avenir est l’avenir, mais que demain est aussi l’avenir. Nous devons commencer �� nous pr��parer pour l’avenir imm��diat au lieu d’attendre que l’avenir �� long terme nous rattrape. La s��curit�� est la cl��.

SiGMA Am��riques?�C Toronto:

Toronto est une plaque tournante id��ale pour la croissance de SiGMA en Am��rique du Nord. Lors de cet ��v��nement, les diff��rents acteurs des industries des jeux terrestres, des jeux en ligne et des paris sportifs profiteront de nombreuses opportunit��s de r��seautage et de d��veloppement commercial. L��initiative du groupe SiGMA permettra aux pionniers de l��industrie du continent de cr��er des liens lors de ces 3 jours de r��seautage, d��ateliers et de remises de prix. Pour en savoir plus sur les possibilit��s de parrainage, de prise de parole ou sur la participation �� cet ��v��nement ou �� d��autres, nous vous invitons �� contacter Sophie :?[email protected].