5 choses que j'ai apprises d'un ancien hacker le plus recherché du FBI

Dans le domaine de la cybersécurité, on dit souvent : « Pensez comme un attaquant ». Mais peu d'entre nous ont la chance d'avoir des nouvelles directement de quelqu'un qui a vécu cette vie et qui a changé la donne.

Dans l'un des épisodes les plus inoubliables de The Segment, j'ai rencontré Brett Johnson, surnommé le « parrain original d'Internet » par les services secrets américains.

Après avoir créé la première communauté cybercriminelle organisée et figurer sur la liste des personnes les plus recherchées du FBI, Brett a reconstruit sa vie et est désormais une voix de confiance pour les forces de l'ordre et les responsables de la sécurité.

Voici cinq leçons que Brett a tirées de sa vie criminelle réformée qui m'ont le plus marqué.

1. La perception est la nouvelle réalité

Au cœur du message de Brett se trouve une vérité effrayante : « Peu importe la vérité. Ce dont je peux te convaincre est important. »

Il ne s'agit pas simplement d'une tactique criminelle, c'est une préoccupation sociétale. À partir de e-mails de phishing à la désinformation politique, la confiance est utilisée comme une arme. Et avec l'évolution rapide de la vidéo et de l'audio Deepfake, la frontière entre le vrai et le faux disparaît rapidement.

« Nous arrivons au point où les deepfakes seront disponibles en temps réel. «, a prévenu Brett.

Il a cité l'exemple d'une attaque au cours de laquelle des acteurs malveillants peuvent falsifier un PDG lors d'une vidéoconférence Zoom. Payroll pense qu'ils parlent au PDG en temps réel, mais ils sont en fait dupés pour envoyer de l'argent sur un autre compte bancaire.

« C'est très efficace », a-t-il déclaré. « Et ça va fonctionner à merveille. »

Le point à retenir est de créer des systèmes qui vérifient, et non pas supposent. Zero Trust est un cadre de sécurité, mais c'est aussi un moyen de rétablir la confiance dans un monde de tromperie numérique.

« Nous arrivons au point où les deepfakes seront disponibles en temps réel. »

2. Les criminels sont des opportunistes, pas des génies

Hollywood décrit les hackers comme de brillants hors-la-loi. Brett voit les choses différemment.

« La plupart des attaques sont effectuées en espèces et sont opportunistes », a-t-il expliqué. « Je recherche l'accès le plus simple qui me permettra de rentabiliser au maximum cet investissement criminel. »

C'est pourquoi basic hygiène cybernétique toujours d'actualité : corriger les vulnérabilités, sécuriser les informations d'identification, fermer les ports ouverts. Ces étapes ne sont pas voyantes, mais elles sont souvent ignorées.

La sécurité n'a pas besoin d'être coûteuse. Mais elle doit être cohérente.

3. La confiance repose sur le comportement et non sur des suppositions

Les attaquants savent que nous faisons confiance à nos appareils. Ils utilisent cette confiance contre nous.

« Nous faisons fondamentalement confiance à nos téléphones portables, à nos ordinateurs portables et à nos ordinateurs de bureau », a déclaré Brett. « Nous faisons confiance aux sites Web que nous consultons, ce qui tend à ouvrir la porte à la confiance. »

Brett exhorte les personnes et les organisations à redéfinir la confiance dans nos systèmes numériques. Vérifiez le comportement, prêtez attention au contexte et concevez des systèmes qui ne reposent pas sur un seul signal de légitimité.

« Vous pouvez arrêter toutes les fraudes du monde. La seule chose à faire est de fermer le Web », a-t-il plaisanté. « Vous voulez trouver cet équilibre entre sécurité et friction, mais cet équilibre doit absolument être davantage axé sur la sécurité. »

4. Les attaquants collaborent. Il en va de même pour les défenseurs.

L'une de ses critiques les plus virulentes ? « Les méchants sont plus doués que vous pour partager et collaborer », affirme-t-il.

Les cybercriminels échangent des outils, des tactiques et des astuces. Mais les défenseurs sont souvent cloisonnés par l'industrie, la concurrence ou la bureaucratie.

« Si je travaille dans un secteur en particulier et que mon entreprise est touchée par un type d'attaque spécifique, le partage de ces informations signifie que d'autres personnes travaillant dans le même espace peuvent également se protéger avant d'être prises pour cible », a-t-il déclaré.

Conclusion : le paysage des menaces n'est pas cloisonné, donc nos défenses ne devraient pas l'être non plus.

« Si je travaille dans un secteur particulier et que mon entreprise est touchée par un type d'attaque spécifique, le partage de ces informations signifie que d'autres personnes travaillant dans le même espace peuvent se protéger avant d'être prises pour cible. »

5. Zero Trust est la façon dont nous rétablissons la confiance

Brett pense que Contenu généré par l'IA, comme les deepfakes, fait en sorte qu'il est plus difficile pour les gens de savoir à quoi faire confiance. Il est essentiel de faire preuve d'esprit critique et de rester sceptique en ligne. Mais les organisations doivent trouver des moyens de rétablir la confiance.

« Chaque nouvel engagement entre le client et l'organisation doit émaner d'un Confiance zéro point de vue », recommande-t-il.

Dans un monde où la perception peut être falsifiée en temps réel, la confiance ne peut être présumée. Elle doit être méritée, encore et encore.

« Faites tout ce que vous pouvez en arrière-plan pour anticiper les risques de fraude, puis agissez à ce moment-là », conseille Brett.

Zero Trust n'est pas qu'une simple stratégie technique. C'est une habitude quotidienne et un état d'esprit. Et dans cet environnement de menaces en constante évolution, c'est notre meilleur moyen de rester prêts.

Écoutez, abonnez-vous et révisez Le segment

Vous voulez en savoir plus sur Brett Johnson ? Regardez l'épisode complet de Le segment : un podcast sur le leadership Zero Trust sur notre site, Podcasts Apple, Spotify, ou partout où vous écoutez.