Nous avons interrogé Rahul Sasi, un hacker éthique, expert en cybersécurité et à présent directeur technique de la startup indienne CloudSek, où il développe une solution qui utilise le Machine Learning. Rahul fait également partie des fondateurs de la communauté Garage4hackers, une des plus anciennes communautés de sécurité de l’information. Il partage avec le Lab Fevad son parcours et son opinion sur les programmes de Bug Bounty et les dernières innovations en cybersécurité.
Pouvez-vous revenir sur votre parcours?
J’ai commencé en tant que chercheur en sécurité pour l’entreprise de cybersécurité iSight Partners, acquise en janvier 2016 par l’un des leaders mondiaux FireEye. J’ai travaillé ensuite dans le domaine de la cybersécurité pour Citrix. J’ai lancé en 2015 la startup Cloudsek avec mon équipe. Nous aidons nos clients à évaluer la sécurité en temps réel du point de vue d’un attaquant. Nos contrôles traquent différentes ressources Internet de nos clients pour avertir des risques de sécurité potentiels. À l’heure actuelle, il y a beaucoup de méthodes d’automatisation de sécurité disponibles, mais aucun d’entre eux ne sont intelligents. Nous voulions rendre l’automatisation de la sécurité plus humaine et plus intelligente. Nous utilisons le Machine Learning et de l’intelligence artificielle pour que nos systèmes apprennent des données antérieures et des scénarios de sécurité et soient plus pertinents chaque jour.
Vous êtes un hacker éthique. Quels sont les hacks dont vous êtes les plus fiers ?
Mon équipe et moi étions les gagnants du premier Bounty Bug récompensé par le gouvernement indien. J’ai travaillé sur les appareils connectés, principalement les drones, pour identifier les risques potentiels d’un détournement de drones. J’ai développé le premier « Backdoor » (*) pour un système de drone, baptisé Maldrone, capable de détourner des drones. En 2014, nous avons démontré comment il était possible pour les hackers de pirater un réseau de télévision par câble. J’ai présenté cela à la conférence Hack In The Box Security à Amsterdam. J’ai été en mesure d’interrompre l’émission de télévision par un message personnel. Ce fut la première fois que quelqu’un faisait une démonstration en direct du piratage des réseaux de télévision par câble.
(*) Backdoor (littéralement porte de derrière) est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. L’introduction d’une “porte dérobée » dans un logiciel à l’insu de son utilisateur transforme le logiciel en cheval de Troie.
Que pensez-vous du niveau de sécurité de la reconnaissance biométrique ?
La biométrie est un des outils capables de gérer la sécurité. Mais en 2010, j’ai écrit quelques papiers pour montrer comment il était possible de pirater des dispositifs biométriques. Se reposer sur ce seul système ne serait pas un bon choix. Le problème n’est pas simplement que quelqu’un utilise une fausse empreinte digitale, mais que les informations d’identification sont connectées à un réseau, et les hackers peuvent toujours s’attaquer au réseau.
Qu’en est-il des portefeuilles mobiles pour le paiement en ligne ?
Les portefeuilles mobiles, ou wallets, vont devenir de plus en plus populaire. L’architecture de base des téléphones mobiles est sécurisée. Le problème que je vois se trouve dans l’infrastructure nécessaire pour gérer les portefeuilles mobiles. Tout se passe dans le cloud, de sorte que le risque est déporté sur le stockage de ces données.
Quel serait votre conseil pour un site e-commerce plus sûr?
Une des choses que je recommande est de garder un oeil sur le « darkweb ». Les criminels y vendent toujours ce qu’ils ont volé – que ce soient les données des clients ou des coupons-cadeaux ou même des numéros de carte de crédit. C’est, entre autres, ce que nous faisons avec CloudSek.
