« La curiosité n’est pas un vilain défaut, sauf quand elle mène les ados au piratage » – pourrait-on dire en cyber-sécurité. Vous pensiez que les adolescents se contentaient de TikTok et de jeux vidéo ? Détrompez-vous, car une nouvelle génération de pirates « voleurs d’identité en herbe » sévit et inquiète les experts en sécurité les plus chevronnés.
Une expression fait sourire, celle d’« advanced persistent teenagers », surnom affectueusement donné par la communauté de la sécurité pour désigner ces jeunes hackers talentueux et motivés par l’argent. Des groupes comme Lapsus$ et Scattered Spider ont prouvé leur redoutable capacité à s’introduire dans des chaînes hôtelières, casinos et géants technologiques grâce à des leurres par email irrésistibles et des appels téléphoniques aussi crédibles qu’un Oscar du meilleur acteur.
Leurs attaques, certes productives, ont généré d’énormes failles de sécurité, touchant des millions de personnes et incitant les entreprises à payer des rançons pour se débarrasser de ces intrus dont le système D n’a rien à envier aux agences d’espionnage étatiques. Cela force malheureusement les sociétés audacieuses à reconsidérer si leurs employés sont bien ceux qu’ils prétendent être ou si ce ne sont que des intrus déguisés.
L’ennui des ados donne des rides aux géants de la tech !
Et c’est là que Darren Gruber, conseiller technique chez MongoDB, entre en scène lors d’un panel à TechCrunch Disrupt, expliquant qu’il est peut-être temps de prendre ces jeunes sérieux. En effet, ils ne se sentent guère menacés, sont parfois hors des juridictions américaines et débordent de temps libre et de talents techniques acquis dans des lieux peu académiques.
MangoDB, par exemple, a eu sa propre aventure avec Scattered Spider, qui a usé d’un appât de phishing pour infiltrer leurs réseaux internes. Tandis qu’Heather Gantt-Evans de Marqeta précise que les techniques de ces groupes sont certes imprévisibles mais demeurent loin de l’ingénierie sociale sophistiquée, rendant les entreprises vulnérables.
Gruber note que comprendre qui vous attaque est crucial pour se défendre à l’avenir, tandis que Gantt-Evans souligne l’importance de gérer les menaces internes provenant d’humains manipulés plus que de logiciels sophistiqués. Après tout, ces adolescents utilisent des approches qui défient nos conventions habituelles, non seulement par leur motivation, mais aussi par leurs méthodes et leur fonctionnement neurodivergent.
La morale de l’histoire ? Héritée de notre propre méconnaissance de la cyber-sécurité, la jeunesse n’est pas seulement un état d’esprit, mais aussi une nouvelle forme d’attaque ! Alors, aux entreprises de ne pas faire l’impasse sur l’importance croissante de la gestion d’identité et l’accès sécurisé. Bref, si vous pensez que les jeunes n’ont pas de plan, attendez qu’ils découvrent votre mot de passe. Qui aurait cru que l’ennui se révélerait une aussi redoutable arme numérique ?
Et puisque prudence est mère de sûreté, ne laissez jamais votre garde descendre, surtout lorsqu’il s’agit d’ados impertinents. Après tout, la récréation n’a jamais été aussi risquée !
Source : Techcrunch
