


La perception de la réalité
Dans cet épisode révélateur de The Segment, nous souhaitons la bienvenue à Brett Johnson, autrefois surnommé le « Parrain original d'Internet » et ancien cybercriminel américain le plus recherché. Aujourd'hui expert réformé, Brett aide les forces de l'ordre et les organisations à garder une longueur d'avance sur les menaces numériques.
Transcription
Raghu Nandakumara 00:12
Chers auditeurs de Segment, bienvenue dans un nouvel épisode de notre cher podcast, The Segment : A Zero Trust Leadership Podcast. Aujourd'hui, je suis très heureuse d'être accompagnée par le légendaire Brett Johnson. Si vous ne savez pas qui est Brett, le simple fait de le rechercher sur Google vous donnera probablement une poignée de résultats vous donnant ses antécédents. Mais disons simplement qu'il est une légende de la communauté de la cybercriminalité. Je dirais que c'est maintenant un cybercriminel réformé, qui éduque et aide les forces de l'ordre à arrêter les criminels. Mais à une certaine époque, il aimait être surnommé le « parrain de la cybercriminalité ». Sur ce, je vous souhaite la bienvenue dans cette émission. C'est la première fois que nous présentons quelqu'un qui figure sur la liste des personnes les plus recherchées aux États-Unis, Brett Johnson, Welcome to The Segment !
Brett Johnson 01:11
Merci beaucoup. J'apprécie. Je ne sais pas si je suis légendaire, je dirais plutôt célèbre.
Raghu Nandakumara 01:17
Eh bien, la notoriété d'une personne est la légende d'une autre personne, donc je pense que c'est un peu les deux. Alors, Brett, c'est un plaisir de t'avoir, et je suis très heureuse de te parler. Votre histoire est vraiment intéressante, mais vous en avez parlé dans de nombreux podcasts et sortes de TEDTalks, etc., que vous avez réalisés. Mais un thème constant sur lequel je vais commencer, et vous le répétez, et je l'ai noté ici, vous dites que la perception de la réalité est plus importante que la réalité elle-même. Commençons par là. Expliquez.
Brett Johnson 01h47
Bien sûr, peu importe la vérité. Ce dont je peux te convaincre compte, d'accord ? Et nous voyons que ce qui est intéressant, c'est que nous le voyons aujourd'hui plus que jamais, plus que jamais. Est-ce que c'est vraiment important ? Est-ce que ce que fait l'équipe DOGE est vraiment important, ou est-ce important de savoir ce qu'elle fait pour vous convaincre et c'est tout l'intérêt ? Quand j'étais un criminel, cela signifiait en fait que peu importe que je sois propriétaire de ce compte bancaire. Ce qui compte vraiment, c'est si je peux convaincre le service client de votre banque que je suis vous et que je suis propriétaire du compte, c'est ce qui compte vraiment. La vérité n'a aucune importance. C'est ce dont je parlais à l'époque. Ces derniers temps, cela a changé, et si vous y réfléchissez bien, s'il s'agit d'une attaque en ligne, il n'y a que trois raisons pour lesquelles cela se produit : le statut, l'argent ou l'idéologie. C'est un statut, j'essaie d'impressionner mes pairs criminels. C'est de l'argent, j'essaie de gagner de l'argent. Ou tu m'as énervée et j'essaie de t'attraper. Si vous pensez à ces motivations et à cette déclaration, « la perception de la réalité est plus importante que la réalité elle-même ». C'est important, car aujourd'hui, il ne s'agit plus seulement d'argent. Il s'agit maintenant de différentes idéologies. Il s'agit d'agendas politiques. Il s'agit de convaincre une population que quelque chose va bien ou mal, que ce soit le cas ou non, cette déclaration a, bon sang, depuis que j'ai commencé à le dire à l'époque du Shadow Crew jusqu'à aujourd'hui, cette déclaration, je pense qu'elle est plus importante qu'elle ne l'a jamais été.
Raghu Nandakumara 03:28
Oui, tout à fait raison. Et je pense que vous avez absolument trouvé le juste en ce qui concerne la militarisation d'Internet, n'est-ce pas ? Et toutes sortes de plateformes médiatiques, la militarisation de l'IA, en particulier dans ce domaine, n'est-ce pas ? Être capable de créer une perception plus crédible que la réalité, ce qui s'ajoute à l'incertitude du monde numérique. C'est ce que je pense, qu'en penses-tu ?
Brett Johnson 03:56
Je suis content que vous ayez parlé de l'IA. Ainsi, la perception de l'IA depuis sa véritable mise en œuvre, au cours des deux dernières années, a été la suivante : les criminels l'utilisent en masse. Et ce n'est vraiment pas vrai. Il y a eu beaucoup de discussions sur le côté criminel, mais en ce qui concerne les cas d'utilisation réels, il n'y en a pas eu beaucoup. Cela étant dit, voici la chose intéressante que j'ai mentionnée il y a quelques instants, à savoir les motivations des attaques en ligne : statut, idéologie de l'argent liquide. Pensez aux affaires, à la compromission des e-mails. Il s'agit d'une attaque en espèces. C'est quelque chose dont je cherche à tirer profit. J'essaie de convaincre cette entreprise de m'envoyer un paiement au lieu du bénéficiaire existant sur son système. Maintenant, l'un des moyens de le faire, le moyen le plus populaire et le plus efficace, consiste à utiliser un domaine Unicode et à convaincre que la nouvelle adresse e-mail est la véritable adresse e-mail. L'une des choses les plus efficaces, cependant, est d'utiliser des deep fakes, que le deep fake soit audio ou vidéo. Maintenant, c'est très réussi et si vous y réfléchissez, et je suis désolée de devoir rebondir là-dessus, pour vous frauder, je dois trouver cette victime potentielle, qu'il s'agisse d'une entreprise ou d'un particulier. Je dois faire en sorte que cette victime potentielle me fasse confiance. Comment fonctionne la confiance dans un environnement en ligne ? Eh bien, cela fonctionne grâce à des outils, à la technologie, et enfin à l'ingénierie sociale. Donc, en matière de technologie, nous faisons fondamentalement confiance à ces téléphones portables, à nos ordinateurs portables, à nos ordinateurs de bureau, aux sites Web que nous visitons, aux logiciels que nous utilisons, au matériel que nous utilisons. Nous ne comprenons pas vraiment que les attaquants utilisent divers outils pour manipuler cette technologie, de sorte que nous ne puissions pas voir le numéro de téléphone d'où ils appellent. Nous voyons le numéro de téléphone d'un client. Nous voyons le numéro de téléphone d'une institution financière. Ils utilisent des appels téléphoniques frauduleux. Ils utilisent des proxys SOCKS5 pour que nous ne sachions pas qu'ils viennent du Ghana, du Nigeria ou de l'Alabama, comme moi. Nous les voyons venir d'Europe, de New York ou du Brésil. Ils utilisent donc ces outils pour manipuler la technologie, ce qui tend à ouvrir la porte à la confiance. Une fois cette porte ouverte, nous voyons à quel point un escroc est un menteur ou, si vous êtes dans le domaine de la technologie, à quel point cet attaquant est doué pour vous manipuler pour vous faire communiquer des informations, des accès, des données ou de l'argent. Et c'est là que les deep fakes entrent en jeu. Nous avons donc une confiance intrinsèque en cette technologie. Nous sommes profondément convaincus que Zoom Call est la personne qui est censée être présente. Et nos yeux nous font croire que, oui, il s'agit du PDG de l'entreprise. C'est cela qui établit cette confiance, qui la superpose. Et cela convainc le responsable de la paie d'envoyer ce paiement à la personne qui connaît actuellement l'IA et qui commence à jouer un rôle à cet égard. Et l'IA est utilisée par les criminels à un point tel que nous la voyons renforcer la confiance et d'autres choses de ce genre. C'est là que cela devient vraiment efficace, c'est dans le processus profond de création de faux. Parce que les deep fake existent depuis toujours, ce n'est pas le cas en temps réel. C'est quelque chose qui a été enregistré puis présenté à cette victime. Mais à mesure que les deep fakes continuent de progresser et d'évoluer, nous arrivons au point où les deep fakes seront disponibles en temps réel. Donc, dans le cas d'une attaque basée sur des espèces, vous avez le PDG de votre entreprise qui discute en temps réel, sans aucun délai, avec le service de paie : « J'ai besoin que vous envoyiez ce paiement sur ce nouveau compte bancaire. Ils ont changé d'adresse, et ils le font maintenant ». Eh bien, c'est très efficace et ça va fonctionner à merveille. Mais ce n'est qu'une des raisons d'un deep fake, pensez à ce deep fake selon lequel, vous savez, nous avons vu les États-Unis. Nous avons vu les États-Unis exploser pendant la COVID parce que, de toute évidence, les forces de l'ordre aiment tirer sur des hommes noirs désarmés. Le pays a donc explosé. Nous avons eu des émeutes. Il y a eu des pillages. Que se passe-t-il lorsque nous voyons dans le futur une vidéo montrant les forces de l'ordre abattant un individu non armé ? La ville explose, puis quelques jours plus tard, elle apparaît, hé, il s'avère que c'était un fake. Il s'avère que l'assaillant avait une arme. L'assaillant tirait sur les forces de l'ordre, mais l'intelligence artificielle a pu supprimer et modifier cette vidéo et en créer une nouvelle où il est apparu que les forces de l'ordre assassinaient cet individu de manière injustifiée. Le mal est déjà fait à ce moment-là. C'est donc ce que nous allons voir en ce qui concerne Deep Face et l'IA. Ça va vraiment le faire. Voici mon inquiétude. À l'heure actuelle, nous assistons à la création de deep fakes et à la détection de deep fakes. C'est une sorte de chat et de souris. Donc, vous voyez, les attaquants proposent un fake profond, peut-être que la société de sécurité peut le reconnaître comme tel ou tel. Si l'entreprise ne le fait pas, elle modifie son algorithme qui identifie désormais les faux attaquants et modifie le leur d'avant en arrière. Je pense vraiment que nous en sommes arrivés au point où l'IA est capable de créer des contrefaçons si efficaces que les bons joueurs ne sont pas en mesure de détecter l'heure de fin des dégâts causés. C'est pourquoi je pense vraiment que nous avons de très bonnes chances, en tant que société, d'atteindre le point où nous ne sommes plus capables de vraiment faire confiance ou de croire en quoi que ce soit. La perception de la réalité est plus importante que la réalité elle-même. Cela n'a plus d'importance. Ce dont vous pouvez convaincre quelqu'un est important.
Raghu Nandakumara 09:42
Je veux dire, ce type de progression vers l'état futur que vous avez décrit est extrêmement préoccupant, car je pense que la confiance est fondamentale dans tout ce que nous faisons d'une manière ou d'une autre. Ouais. Que ce soit dans le monde réel ou dans le monde numérique, n'est-ce pas ? Nous pensons qu'il existe un certain niveau de confiance implicite dont nous dépendons. Alors, à mesure que cette dépendance, ou notre capacité à en dépendre, diminue, comment pouvons-nous la combattre, n'est-ce pas ? Alors, comment pouvons-nous continuer à fonctionner avec confiance dans un monde où nous ne sommes pas capables de faire la différence entre la réalité et la fiction ?
Brett Johnson 10 h 29
Pour moi, cela se résume à de véritables relations personnelles. Comment vaincre la compromission de la messagerie professionnelle ? Eh bien, vous pouvez y remédier en entretenant une relation personnelle avec ce PDG, pas seulement en ligne, mais « Hé, pouvons-nous parler ? Puis-je décrocher le téléphone et te rappeler ? » Je peux l'avoir ? Avons-nous cette phrase secrète de la vieille école qui n'a été discutée nulle part ailleurs qu'entre vous et moi personnellement ? Est-ce que nous l'avons ? Donc, cela devient ceci, cela revient à revenir aux méthodes de sécurité de la vieille école. Mais c'est plus que cela, vous devez savoir que les réseaux sociaux aiment nous placer dans notre propre petite chambre d'écho. Il n'aime pas que nous soyons objectifs. Il aime que nous soyons subjectifs. Il aime que nous nous disputions les uns avec les autres. Donc, cela devient l'idée que vous devez vous efforcer d'être objectif, d'être ouvert d'esprit, d'accepter, de comprendre et d'admettre que vous vous trompez. Ce qui est très difficile si vous êtes sur Twitter, car une fois que vous admettez que vous vous trompez, les requins vont entrer et vous manger vivant. Mais tu dois comprendre que ce n'est pas le monde réel. Vous savez, nous vivons dans une société qui, au cours des dernières générations, nous a appris à faire attention à A, numéro un. C'est toi. Vous savez, vous devez prendre soin de vous, car personne d'autre ne le fera, mais ce n'est pas ainsi que fonctionne une société qui fonctionne correctement. Une société n'est que cela : une société. Ce ne sont pas des individus, c'est tout le monde qui veille les uns sur les autres. Parce que lorsque nous prenons soin les uns des autres, tout le monde devient meilleur à la fin de la journée, plus performant à la fin de la journée et plus rentable à la fin de la journée. C'est le truc et quand on prend soin de soi, en fin de compte, les choses s'effondrent. Quand j'étais un criminel, vous savez, et je me considère toujours comme un criminel, mais quand j'enfreignais activement la loi, c'est l'une des raisons pour lesquelles je me suis lancée dans une vie de crime, et j'y ai beaucoup réfléchi. L'une des raisons pour lesquelles je me suis lancée dans la criminalité est que je voulais être en mesure de contrôler mon propre destin. Je ne voulais pas du tout avoir à compter sur quelqu'un d'autre. Et je dois vous dire que lorsque vous commettez un crime et que vous réussissez, cette illusion fonctionne à merveille. Absolument, c'est le cas à 100 %. Mais quand tout tombe, et c'est le cas, quand tout tombe, si vous vous écrasez au sol, vous découvrez que la vraie vie dépend du fait que vous travailliez avec tout le monde et que vous comptiez sur les autres. Vous savez, beaucoup d'hommes n'aiment pas demander des choses à d'autres personnes. Nous n'aimons pas compter sur les autres. Mais la vérité, c'est quand j'en ai été capable, quand j'ai eu l'opportunité de changer de vie, et j'ai saisi cette opportunité. La façon dont j'ai pu le faire, oui, c'était mon choix. Mais en même temps, si je n'avais pas de communauté, la communauté de la cybersécurité, le FBI, mes amis, les membres de ma famille, mes associés, s'ils n'étaient pas là pour me soutenir et me dénoncer mes foutaises quand j'en avais, j'ai encore des foutaises. S'ils ne l'avaient pas fait, je n'aurais jamais pu être là où je suis aujourd'hui. Je serais de retour en prison pendant 20 ans. J'en suis absolument convaincu, et c'est quelque chose que nous devons comprendre en tant que société, que ce n'est pas seulement la personne seule, c'est le groupe qui compte, et c'est l'entraide qui compte, parce que c'est ce que nous sommes censés faire.
Raghu Nandakumara 14 h 12
Alors, parlez de ce concept de société lorsque vous avez créé ou dirigé Shadow Crew. Y avait-il beaucoup de ces propriétés d'une société civile qui ont contribué à la façon dont le Shadow Crew fonctionnait ainsi collectivement, les gens s'entraidaient en quelque sorte pour, je veux dire, oui, bien sûr, c'était pour soutenir la cybercriminalité, mais y avait-il une telle sorte de confiance implicite au sein de cette communauté ?
Brett Johnson 14 h 42
J'étais donc à Dubaï, et je vais y retourner dans quelques mois, mais j'étais en train de donner le ton sur la partie sécurité de la conférence GITEX à Dubaï, et j'ai participé à un panel, j'écoutais tous les autres participants au panel, et j'étais assise là à dire, vous savez, qu'ils disaient beaucoup de choses intéressantes. Et c'est finalement mon tour de parler, et ils m'ont posé une question, mais j'ai complètement ignoré la question, et j'ai dit : « Hé », et j'ai regardé le public, je me suis dit : « Voulez-vous savoir pourquoi les méchants gagnent et vous perdez tous les jours ? » Et la réponse est, et c'est toujours la réponse aujourd'hui. Nous, les méchants, sommes meilleurs que vous pour partager et collaborer. Comme vous venez de le mentionner, nous sommes plus une société que vous ne l'êtes. Vous vous inquiétez de la réglementation. Vous vous inquiétez pour vos avantages concurrentiels, et vous vous inquiétez pour vous-même. Nous l'avions compris avec Shadow Crew, mais ce n'est pas comme si nous nous étions assis et que nous avions en quelque sorte tout planifié. Nous ne l'avons pas fait. Ce que nous avons fait, c'est la genèse de la cybercriminalité moderne ? Il s'agit en fait de trois sites Web. Il s'agit de Counterfeit Library, Shadow Crew et Carter Planet. J'ai publié de la contrefaçon et Shadow Crew, un de mes associés ukrainiens, Dmitri Golov, a lancé Carter Planet, ces trois sites. Ce n'était pas quelqu'un qui s'asseyait et préparait des choses. Des problèmes sont apparus au fur et à mesure que ces choses se développaient, et nous les avons résolus. Et c'est comme ça que tout se passe. L'une des choses que nous avons rapidement comprises avec Counterfeit et Shadow Crew, c'est qu'il est important de partager et d'échanger des informations. Il est important de faire attention à votre compagnon criminel. Et si nous l'avons compris, c'est que nous avons rapidement compris que, hé, nous commettons des crimes, et si nous ne prenons pas soin les uns des autres, nous aurons beaucoup d'agents de sécurité et, plus important encore, nous aurons beaucoup de policiers ici qui vont nous arrêter et nous envoyer en prison pour toujours. Il est donc devenu très important de prendre soin de votre prochain. Oui, même si nous étions des criminels, nous prenions absolument soin les uns des autres. Nous nous sommes aidés mutuellement à enfreindre la loi. Nous nous sommes aidés mutuellement, nous nous sommes aidés à nous éduquer les uns les autres. Si c'était le cas, si nous avions des problèmes personnels, nous les réglerions généralement les uns avec les autres. C'est devenu une véritable communauté. Et c'est l'une des choses intéressantes que nous ne voyons plus tant que ça. Vous savez, nous vivons dans des quartiers où, d'habitude, nous ne connaissons pas notre voisin d'à côté, nous ne lui parlons pas. Nous fermons les stores pour ne pas voir à l'extérieur et à ce que personne d'autre ne puisse voir à l'intérieur ; nous continuons à nous isoler et à vivre une plus grande partie de notre vie en ligne, dans notre petite chambre d'écho, où nous refusons même d'avoir l'opinion contraire de quelqu'un d'autre. Si quelqu'un d'autre a une vision opposée de nous, il devient tout à coup notre ennemi. Et ce n'est pas ainsi que l'on grandit en tant que personne. Ce n'est pas le moyen d'élargir vos connaissances, votre horizon, vos perspectives ou votre compréhension de quoi que ce soit. Mais il est certain qu'aujourd'hui encore, si vous regardez les communautés criminelles, que ce soit par télégramme, sur le Dark Web ou même sur le Web de surface, si vous regardez ces communautés criminelles, vous voyez le cœur de la collaboration, de l'entraide, et il est regrettable que cela soit plus présent dans le monde criminel que dans le monde des gentils.
Raghu Nandakumara 18 h 15
C'est fascinant. C'est inquiétant, parce que je pense que ce que vous abordez ensuite, c'est que certaines de ces valeurs que nous avons toujours considérées comme importantes pour la société, pour une société productive, nous oublions en fait dans ce que nous appelons une sorte de monde légal, juste ou non criminel. Mais alors que dans le monde criminel, certaines de ces qualités essentielles sont en fait préservées et, en fait, mises en pratique de manière très, très rigoureuse pour réussir. Je pense qu'il y a là une leçon à tirer, notamment en ce qui concerne le partage d'informations et de connaissances. Je pense que c'est très important. C'est la seule façon dont nous nous développons. Je voudrais donc revenir sur les motivations que vous soulignez à plusieurs reprises en matière de cybercriminalité, n'est-ce pas ? Statut, idéologie, argent. Et je pense que nous, nous comprenons tous en quelque sorte la question financière. Dans une certaine mesure, nous comprenons la question de l'idéologie. Mais j'aimerais avoir votre point de vue sur le statut, ou, comme je dirais, pas vrai, quand, en tant que cybercriminel, vous voulez juste faire preuve de souplesse, n'est-ce pas ? Montrez, montrez simplement les armes, et montrez simplement que vous avez fait de l'exercice. Alors, comment ferais-tu ça ?
Brett Johnson 19 h 28
Donc, comprenez ce dont je parle, et vous voyez ça, vous savez, je vois tout le temps sur LinkedIn ou sur Twitter, un agent de sécurité ou des forces de l'ordre publier une vidéo d'un enfant sur Facebook ou sur un télégramme brandissant des tas d'argent, ou un artiste de rap parlant de toutes les fraudes qu'il commet. Et ils disent généralement que ce type est un vrai idiot. Et la réponse est, oui, ce type est un vrai idiot, mais tu ne comprends pas ou n'apprécies pas vraiment ce qui s'y passe réellement. Vous devez comprendre que même si ces communautés criminelles visent à faire en sorte que tout le monde réussisse, ces communautés criminelles sont également composées de gros chiens et de petits chiens ; c'est exactement ce que c'est. Donc, un gros chien mange un petit chien, et si vous avez un statut supérieur, cela signifie que vous êtes davantage respecté par chaque membre de cette communauté, et ce respect, en fin de compte, équivaut à un profit. Alors, pensez-y et comprenez que tous les criminels ne sont pas bons, et par là je veux dire habiles. Donc, moi d'entre eux ne savons absolument rien du tout. Ils achètent tout sur le marché parce que de nos jours, peu importe le crime. Vous pouvez acheter tous les éléments nécessaires à la commission de ce crime, prêts à l'emploi. Vous pouvez suivre ou acheter des tutoriels. Vous pouvez suivre des cours en direct. Vous n'avez pas besoin de comprendre la dynamique du crime que vous commettez, et vous pouvez toujours réussir. Donc, si vous faites partie de ces gars qui ne comprennent pas le crime que vous commettez, mais que vous êtes capable de voler beaucoup d'argent, comment gagnez-vous le respect des membres de cette communauté ? Il ne vous reste plus qu'à prouver que je suis capable de voler 30 PS5, que je peux gagner 30 000 dollars par semaine en faisant des demandes d'assurance-chômage, et vous renoncez à l'argent. Et cela compte absolument en fin de compte. Donc, quand j'en parle, je me demande : pouvez-vous faire quelque chose que personne d'autre au sein de cette communauté ne peut faire ? Pouvez-vous créer un ransomware ? Pouvez-vous déployer un ransomware ? Parce que c'est ce qui compte vraiment. Pouvez-vous lancer des attaques d'ingénierie sociale réussies ? Pouvez-vous lancer des campagnes de phishing ? Sais-tu faire des attaques d'homme et de milieu ? Pouvez-vous créer et déployer des botnets ? Pouvez-vous utiliser des informations de carte de crédit volées pour frauder Amazon ou Apple alors que personne sur la planète ne peut le faire ? Si vous le pouvez, vous gagnez le respect de tous les membres de cette communauté, et ce respect est important. Cela signifie en fait que des membres viendront vous demander conseil. Ils partageront plus d'informations avec vous. « Hé, je viens de découvrir que cela fonctionne dans ma région, ce type de crime en particulier, et que cela joue contre cette entreprise », puis vous pouvez les avoir hors ligne, sur signal ou autre, en discutant avec eux. « D'accord, comment ça marche ? Quels outils utilisez-vous ? » Mais cela signifie que vous êtes plus rentable et plus compétent en fin de compte. Ainsi, une fois que ce respect commence à se développer, de plus en plus de personnes viennent partager plus d'informations avec vous. Vous pouvez ensuite le partager avec d'autres personnes, d'abord en privé, puis plus publiquement par la suite, ce qui augmente votre statut global, jusqu'à ce que vous commenciez enfin à vous hisser au sommet de la chaîne alimentaire. Parce que encore une fois, c'est le gros chien contre le petit chien, et c'est ce qui compte. Le statut est donc l'une de ces choses absolument importantes que personne n'apprécie ou ne comprend vraiment du côté des gentils, et à l'avenir, si vous y réfléchissez bien, si la cybercriminalité était un pays aujourd'hui, il aurait la troisième plus grande économie de la planète. C'est énorme, c'est énorme. Et ignorer ou ne pas comprendre l'importance du statut au sein de ces types de groupes revient vraiment à ne pas comprendre pourquoi un grand nombre de ces crimes sont commis.
Raghu Nandakumara 23 h 24
Je veux dire, c'est fascinant. Et je voudrais vous demander, donc si vous êtes en mesure de partager, quelles sont les principales choses que vous avez faites pour obtenir ce grand chien, ce statut de parrain au sein de la communauté,
Brett Johnson 23 h 37
Très bien, alors, bon sang, par où commencer, par où commencer ? Donc, lorsque la cybercriminalité, comme vous le savez aujourd'hui, a débuté, j'étais vraiment au premier plan. Le site était Counterfeit Library, et c'était déjà un site existant. Il y avait un forum qui n'existait plus. Vraiment, personne ne l'utilisait. J'ai été l'un des premiers membres de ce forum. Et si j'étais membre de ce forum, c'est parce que je me suis fait arnaquer. Je ne savais rien du tout. Je veux dire, je savais comment frauder eBay et PayPal. Je ne savais pas vraiment comprendre la dynamique d'une grande partie de la cybercriminalité chez eux. Et je cherchais une fausse carte d'identité, un type m'a arnaqué. Grosse surprise. Je me suis énervé. J'avais quand même besoin d'une fausse carte d'identité et j'ai découvert cette bibliothèque de contrefaçons, où il s'agissait de diplômes et de certificats contrefaits, et c'était la chose la plus proche que j'ai pu trouver d'un canal de cybercriminalité à ce moment-là. Alors, je suis allée sur leur forum. Personne ne l'utilisait, et littéralement, la seule chose que je faisais était de gémir et de me plaindre chaque jour de m'être fait arnaquer. Et à peu près au même moment où j'y étais. Ces deux autres personnes étaient également présentes. L'un d'eux portait le pseudonyme de Mr. X, il venait de Los Angeles. L'autre portait le pseudonyme de Beelzebub, il venait de Moose Jaw, en Saskatchewan, plus que tout autre endroit. Donc, nous sommes devenus ce genre de groupe de copains. Et un jour, nous avions l'habitude d'utiliser ICQ. Pour s'envoyer un message. Et un jour, Belzébuth me met sur ICQ et m'envoie un message. Je me suis fait appeler Gollum. Il a répondu : « Gollum ! » J'ai répondu : « Ouais, mec. » Il a dit : « Je peux te fabriquer un faux permis de conduire. » Et j'ai répondu : « Eh bien, mec, fais-le. » Et il a répondu : « Non, je vais te le facturer. » Eh bien, à ce moment-là, j'avais tant râlé, gémi et je me suis plaint que les véritables propriétaires de Counterfeit Library m'aimaient bien, je le connaissais et nous nous entendions très bien. Il répond : « Je l'aurais facturée ». J'ai répondu : « Oui, tu es vraiment trop belle. » Il répond : « Non, je vais t'inculper, mec. » Il a déclaré : « La raison pour laquelle je veux inculper, c'est que si vous voulez exercer ce métier, vous devez être capable de faire confiance à quelqu'un à un moment donné. » Eh bien, je me suis dit : « OK », alors je le lui ai dit. J'ai dit : « Mec, je vais t'envoyer 200 dollars et quand tu m'arnaqueras, tu seras banni de ce site, et je n'ai plus à m'inquiéter pour toi. » Il dit : « Je parie ». J'ai répondu : « D'accord », alors je lui ai envoyé 200$, je lui ai envoyé ma photo. Quelques semaines plus tard, j'obtiens un faux permis de conduire au nom de Stephen Schwake. Un vrai gars travaille encore aujourd'hui, travaille pour ADP Payroll, et je ne savais pas ce que je cherchais. Pour moi, c'était le meilleur faux permis de conduire de la planète. Il s'avère que ce n'était pas le cas. C'était passable, mais il suffit d'être passable pour commettre une fraude, et j'utilise ce permis de conduire pour ouvrir des comptes bancaires, pour encaisser des chèques, et tout le reste. L'accord est devenu que M. X a fabriqué une très bonne carte de sécurité sociale ou passable. Belzébuth a obtenu un permis de conduire de l'Ohio passable. Je ne savais rien du tout à ce moment-là. Je savais comment frauder eBay et PayPal. L'accord était donc que Belzébuth voulait vendre des permis de conduire. M. X voulait vendre des cartes de sécurité sociale. Je n'avais aucune compétence, Belzébuth m'a proposé de devenir le critique, et ils vendraient les produits. Je serais ce réviseur externe et indépendant. Toute personne désireuse de vendre quoi que ce soit devait m'en envoyer une copie. J'apprendrais à m'en servir, à savoir ce qui était bon et ce qui ne l'était pas. Et cela permettrait de construire cette communauté. Et c'est exactement ce qui s'est passé. C'est devenu presque un champ de rêves, si vous le construisez, ils viendront, pour des activités criminelles. Je suis devenu ce critique. Tous les produits et services sont passés par moi, et à un moment donné, c'est exactement ce qui s'est passé. Toutes les transactions commerciales sont passées par Johnson. Alors, je suis devenu ce dieu qui sait que si je donnais mon approbation, les gens gagnaient de l'argent. Si je ne le faisais pas, les gens feraient faillite. Donc, c'est moi qui ai créé le mécanisme de confiance initial utilisé par les criminels, ce processus d'évaluation, de garantie des personnes, et ce que cela signifie pour les canaux Escrow. C'est moi qui l'ai construit au départ. Je suis le premier à avoir vendu des comptes bancaires volés, ou à ne pas les avoir volés, mais à créer des comptes bancaires vidangés en ligne. J'ai commencé à créer un vol d'identité pour les déclarations de revenus. Donc, la raison pour laquelle la déclaration de revenus de chacun est retardée chaque année, c'est ce SOB qui vous parle en ce moment. Il y a, il y a un hôte. C'est moi qui ai amené tous les Ukrainiens aux États-Unis. Cet associé que j'ai mentionné de Carter, Planet, Dmitri Golov. Il a vu le succès que nous avions avec Counterfeit Library. Il veut être spammeur. Il était en train d'obtenir toutes ces informations de carte de crédit. Et il m'a dit : « Je me demande si les gens achèteraient des informations de cartes de crédit volées ». Il s'avère qu'ils le feront. Alors, il décroche le téléphone. Il appelle ses potes. Ils l'appellent le leur. Ils tiennent une conférence physique à Odessa. 150 de ces criminels se présentent et lancent Carter Planet, qui est à l'origine du vol de cartes de crédit moderne, comme nous l'appelons. Le problème, c'est qu'ils avaient commis tellement de fraudes dans l'est de l'Europe que toutes les cartes ont été fermées. Dimitri est donc venu me voir, et il m'a dit : « Hé, nous devons être en mesure de retirer de l'argent. » Donc, je suis la personne qui était chargée de combler cette relation entre l'ukrainien et l'anglais entre les cybercriminels qui a duré. Eh bien, cela a duré plusieurs années. C'est encore là jusqu'à un certain point, mais le nombre de premières criminelles dont je suis responsable est, bon sang, c'est beaucoup. Je veux dire, je pourrais y consacrer beaucoup de temps. Ce n'est pas pour rien que les services secrets m'ont appelé le parrain original d'Internet, et ce n'est pas un bon terme. Et ce n'est pas pour rien que je figurais sur la liste des personnes les plus recherchées aux États-Unis. Je vais vous dire, garçons et filles, tous ceux qui figurent sur la liste des personnes les plus recherchées aux États-Unis. Tu n'es pas un bon gars à ce moment-là. Je veux dire, tu es, tu es un type dangereux. C'est, il n'y a pas de quoi être fier du tout.
Raghu Nandakumara 29 h 30
Ils ne sont pas là pour te remettre une médaille, c'est certain.
Brett Johnson 29:33
Non, eh bien, ils sont là pour te mettre en forme.
Raghu Nandakumara 29:38
Passons à autre chose, car vous y avez apporté beaucoup de points de vue sur le cybercriminel et, dans une certaine mesure, sur l'état d'esprit de l'attaquant, n'est-ce pas ? Et je pense que, pour y revenir, quelque chose que vous avez dit, c'est vrai ? La cybercriminalité ne fait que croître, son volume et sa valeur augmentent. Genre, c'est quoi ? Si vous mettez maintenant du côté du défenseur, n'est-ce pas, quelles sont les erreurs commises par les défenseurs au point de donner l'impression que nous ne nous améliorons pas réellement en matière de prévention de la cybercriminalité ?
Brett Johnson 30 minutes 13
Un de mes amis, il a posté sur LinkedIn hier, et ce qu'il a dit est vraiment révélateur. Et j'y fais allusion depuis quelques années maintenant. L'une des raisons pour lesquelles les cybercriminels réussissent si bien est que lorsque nous agissons, lorsque nous faisons quelque chose, nous le faisons parce que c'est ainsi que nous mangeons. Si tu ne réussis pas, tu ne mangeras pas ce jour-là. Donc, ces attaques d'ingénierie sociale qui existent, il y a une différence entre la façon dont un méchant fait une attaque d'ingénierie sociale et la façon dont un bon le fait. Tu sais, un bon gars, si tu vas à DEFÇON ou à Black Hat, tu as une ferme d'ingénierie sociale là-bas, et tout le monde vole les ordinateurs portables de chacun et toutes ces autres bêtises. Ce n'est pas ainsi que fonctionne réellement l'ingénierie sociale. En tant qu'ingénieur social, si vous le faites vraiment dans un but lucratif ou pour quelle que soit la motivation de l'attaque, vous essayez de faire quelque chose de la plus petite façon possible qui fasse croire à la victime potentielle qu'elle a simplement choisi de le faire, et vous ne voulez pas qu'elle le découvre un jour. Parce que quand ils le découvrent, les concerts commencent. Donc, vous n'avez que cet espace pour agir. Donc, vous voulez que cet espace pendant lequel ils ne sont pas conscients soit aussi long que possible. Donc, la façon dont les gentils font les choses, je fais aussi la blague selon laquelle DEFÇON existe pour que les gens puissent parler d'exploits et de méthodes d'attaque qu'aucun véritable criminel ne pourra jamais faire. D'accord, c'est une blague, mais il y a aussi beaucoup de vérité là-dedans. Et je constate tout le temps que les gens pensent qu'ils comprennent comment pensent les criminels, que je peux penser comme un criminel. Eh bien, non, tu ne peux pas. Si tu le pouvais, tu serais un criminel. C'est l'une des choses que je pense que les gens passent vraiment à côté. Cela ne veut pas dire que vous ne pouvez pas anticiper ce que je vais faire. C'est possible, mais il faut être ouvert d'esprit. Il faut être objectif et ne pas penser que l'on sait tout. Et l'un des problèmes, je pense également, est que beaucoup de ces entreprises disposent de budgets extrêmement importants pour la sécurité. Je ne pense pas qu'il faille avoir un budget vraiment important. Je pense qu'un budget vraiment important signifie que nous devons trouver quelque chose à faire avec tout cet argent. Parfois, cela fonctionne et parfois non, mais dépensons quand même beaucoup d'argent. Tout cela pris ensemble, je pense que c'est une bonne chose que la cybersécurité et la protection ne soient pas vraiment accessibles au public. Ce n'est pas vraiment romantique, il s'agit simplement de faire les choses que vous devez faire dans les détails. Nous avons plus de 8 500 entreprises de sécurité sur le marché. Nous avons de nombreux médias qui présentent les attaquants comme des pirates informatiques, comme des génies de l'informatique. Il est capable de s'introduire dans n'importe quel type de système informatique de son choix. Ce n'est pas vraiment le cas. Les attaques se produisent parce que plus de 90 % de toutes les attaques utilisent des exploits connus. Oui, ce ne sont pas des génies de l'informatique. Ce sont des choses dont on nous parle depuis des années et pour lesquelles nous ne faisons rien. Cela explique le paysage des menaces qui existe. Plus de 90 % des attaques sont des « star of breach », à commencer par des attaques de phishing. Donc, c'est compromettre l'être humain. Il recherche des vulnérabilités connues. Il s'agit de comprendre ces choses. Il s'agit de comprendre un attaquant. La plupart des attaques sont basées sur des espèces, et la plupart des attaques sont des attaques opportunistes. Je recherche l'accès le plus simple qui me donne le meilleur retour sur cet investissement criminel. Si vous comprenez cela et que vous y mettez un minimum de sécurité, tout ira bien. Mais tu dois le faire. Tu ne peux pas avoir juste un milliard de dollars. Parmi ces banques, j'ai un budget de sécurité d'un milliard de dollars, et je ne vous dirai pas quelle banque, mais je discutais avec leur vice-président chargé des menaces. Et je lui ai demandé, je lui ai répondu : « Hé, pourquoi n'avez-vous pas encore été touchés par un rançongiciel ? » Et elle a répondu : « Je ne sais pas. Je vais demander. » Donc, environ trois semaines plus tard, elle revient et elle dit : « Eh bien, j'ai contacté mon patron. Il me répond enfin et me dit : « Eh bien, nous avons un budget de sécurité d'un milliard de dollars. » Et je me suis dit : « Bon sang, c'est beaucoup. » Et elle a répondu : « Oui », puis elle a répondu : « Puis il a fait une pause, il m'a regardée, et il a dit, et nous avons beaucoup de chance. » Et je me suis dit : « Bon sang, la chance est une stratégie.
Brett Johnson 34:38
Vous savez, si, d'une seule main, vous dites que vous dépensez un milliard de dollars pour la sécurité, et que l'instant d'après, vous dites, et nous avons de la chance, que quelque chose ne va probablement pas.
Raghu Nandakumara 34:50
C'est génial, et je suis sûr que s'ils avaient économisé ce milliard de dollars en s'appuyant uniquement sur la chance, le résultat serait probablement encore assez similaire, probablement similaire.
Brett Johnson 35:02
C'est ça qui est intéressant. Donc, tu sais, c'est vraiment l'une de ces choses de simplement se fermer et de ne pas, tu sais, ne pas penser que tu es une superstar, oui, ne pas penser que c'est un travail vraiment romantique. C'est vraiment une question de détails. Tu sais, j'ai vu un gars l'autre jour. Quand j'ai commencé à parler, il y en avait deux. En fait, il n'y avait que deux vrais criminels qui parlaient, Frank Avenue et moi. Maintenant, il y en a plusieurs autres, et certains savent de quoi ils parlent. Donc, pas moi d'entre eux. Ceci. Ce gars a publié un article sur la sensibilisation à la fraude et la formation à la sécurité, et il a donné les chiffres suivants : « les entreprises qui proposent des formations de sensibilisation à la sécurité constatent une baisse de 63 %, et une taxe leur permet d'économiser 50 % de leur argent ». Et il ne savait pas de quoi il parlait, car la sensibilisation à la sécurité, la formation à la fraude, ça fonctionne tant que la formation est continue. Ce n'est pas quelque chose que vous faites pendant quelques semaines, et c'est efficace. Pendant ces deux semaines, c'est efficace, puis les chiffres redeviennent tels qu'ils étaient. Il s'agit donc de comprendre que vous devez faire les choses de la bonne façon. Il ne s'agit pas simplement d'une exposition canine et poney. Quand j'étais en prison, nous organisions tout le temps des expositions de chiens et de poneys. C'est quelque chose que vous devez poursuivre et vous assurer de faire les choses correctement en même temps.
Raghu Nandakumara 36:20
Je pense que tout cela est parfaitement pertinent, et compte tenu de votre expérience, je pense que cela renforce une grande partie de ce qui continue d'être dit, mais j'ai l'impression que l'on n'en tient pas suffisamment compte, n'est-ce pas ? Parce que ce que vous avez dit, c'est que ce n'est pas comme les cyberattaquants, les cybercriminels, c'est comme vivre de la terre, n'est-ce pas ? Il s'agit du même ensemble d'exploits qu'eux, car toutes les boîtes à outils existent pour les exploits connus. Alors, pourquoi voudriez-vous créer une nouvelle boîte à outils pour un nouvel exploit potentiel alors que vous pouvez simplement réutiliser ce qui existe, n'est-ce pas ? Cela coûte moins cher et vous demande moins d'efforts. Et encore une fois, d'accord, avec juste assez de chance, tu vas, tu vas obtenir ce résultat, tu vas encaisser, et tu vas être capable de passer à autre chose. Donc, quand vous avez dit, c'est vrai, il ne s'agit pas nécessairement de faire de nouvelles choses sexy, n'est-ce pas, mais d'être capable d'être brillant dans les domaines les plus fondamentaux de la cybersécurité, n'est-ce pas ? C'est essentiellement là que réside la plus grande opportunité pour les défenseurs. Est-ce que cette leçon a été entendue ?
Brett Johnson 37:32
Tu sais, c'est à certains endroits. C'est à certains endroits. Je pense que cela se fait de plus en plus entendre au fur et à mesure que ces breach deviennent publiques. Prenez, par exemple, Colonial Pipeline. Pipeline Colonial. Pourquoi est-ce arrivé ? Eh bien, cela s'est produit parce que Colonial Pipeline savait que l'un de ses mots de passe VPN était disponible sur un canal du dark web. Ils le savaient et ils n'ont rien fait pour y remédier. Ils n'ont pas changé le mot de passe. C'est pourquoi cela se produit. Cela se produit parce que vous savez que votre mot de passe est solarwinds123, ou c'est l'une des raisons pour lesquelles cela se produit.
Brett Johnson 38:07
Donc, c'est si, vous savez, comme ça, alors que ce genre de choses devient de plus en plus accessible au public, et si nous comprenons que, vous savez, Colonial Pipeline a essayé de le faire et Experian a essayé de le remettre à un stagiaire. Vous savez, de toute évidence, le même stagiaire continue d'être embauché dans toutes ces entreprises qui sont victimes de breaches, pour les entendre le raconter. Je pense qu'à mesure que de plus en plus de ces informations deviennent publiques et que nous voyons comment se présentent ces attaques, il ne s'agit généralement pas d'attaques sophistiquées, mais simplement d'attaques opportunistes. Je pense que le fait de comprendre que, alors que nous continuons à avoir des conversations comme celle-ci, je pense que la prise de conscience se fait sentir, ce ne sont pas ces choses sexy, ce ne sont pas ces génies de l'informatique qui opèrent dans l'ombre et que personne ne peut saisir. Ça ne l'est pas. Ce sont ces types qui scannent ces choses. Ils lisent des livres blancs. Ils font preuve de diligence dans leur recherche d'accès. Ils comprennent que s'ils se situent dans un secteur vertical et qu'ils sont capables de compromettre une entreprise de ce secteur avec cette attaque, cette même attaque fonctionnera probablement dans les autres entreprises du même secteur vertical. Il s'agit donc de comprendre ces choses. C'est comprendre, partager et collaborer. Si je suis une entreprise dans un secteur d'activité spécifique, comme les infrastructures, les finances ou autre, et que je vois mon entreprise victime d'une attaque spécifique. Si je partage et collabore avec d'autres entreprises du même secteur d'activité, cela signifie que ces autres entreprises peuvent se protéger avant que cette attaque ne se produise. Si je ne le fais pas, cela signifie que j'essaie de créer un avantage concurrentiel. Je vais, vous savez, mettre en œuvre la sécurité ici et laisser mes autres concurrents se faire dévorer. C'est, c'est sous, c'est être ouvert d'esprit. Il s'agit d'être objectif. Au début, nous avons compris que nous devions prendre soin les uns des autres. C'est, c'est bien plus que prendre soin de soi.
Raghu Nandakumara 39:56
Dans cette mesure. Tu penses à beaucoup de ce que c'est ? Les réglementations, etc., évoluent au fil du temps, et une grande importance est accordée au signalement, au signalement des incidents, à la notification de l'impact, etc. Pensez-vous que cela favorise une culture beaucoup plus transparente ? Pensez-vous que les organisations sont plus à l'aise pour signaler les cyberattaques ?
Brett Johnson 40:19
Je ne sais pas s'ils sont plus confortables. Le problème, c'est qu'il s'agit de règlements, nous avons tendance à avoir des gens qui n'ont aucune compréhension du secteur qu'ils essaient de réglementer. Si vous participez à certaines de ces audiences sur les cryptomonnaies qui se déroulaient, vous pouviez voir les yeux de verre des sénateurs et des représentants qui étaient prêts à réglementer les choses ? Oh mon dieu ! C'est donc l'un des problèmes. Un autre problème est que le signalement, même si je suis tout à fait favorable à ce qu'il soit rendu public, je suis également favorable à ce qu'il donne la possibilité à ces autres victimes potentielles de se protéger avant qu'il ne soit rendu public. Parce que pourquoi Equifax a été touchée ? Equifax a été touché parce qu'Apache a annoncé un correctif. Equifax n'en met pas ; dans les 24 heures, ils sont mangés vivants. Je pense qu'il faut du temps avant que cela ne soit rendu public pour que ces autres entreprises mettent en place des mesures de sécurité, car une mise à jour est simplement une diffusion destinée à tous les criminels de la planète leur indiquant à quelle porte frapper. Oui, je pense qu'il doit y avoir une sorte de réglementation selon laquelle une entreprise victime d'une violation doit d'abord être en mesure de la partager avec d'autres entreprises de son secteur d'activité, ces autres entreprises doivent agir immédiatement en conséquence, mettre en œuvre une sécurité appropriée. À ce moment-là, il pourrait ensuite être rendu public afin que ces autres entreprises ne soient pas victimes de l'annonce d'une violation.
Raghu Nandakumara 41:51
Je pense que c'est un très bon point parce que, comme vous en avez parlé tout à l'heure, d'accord également, c'est que lorsqu'une organisation, un secteur en particulier, est victime d'une cyberattaque particulière qui exploite une vulnérabilité particulière ou alors, le plus souvent, le même type de technologies est utilisé par la grande majorité du groupe de pairs. Donc, tu as raison. Donc, comme dans le cas du partage d'informations, cela devrait être un peu comme la priorité du partage au sein de votre groupe de pairs, mais c'est aussi presque comme les règles de Chatham House, non ? Ils le partagent, mais ne le rendent pas public tant que nous n'aurons pas eu le temps de faire preuve de diligence raisonnable et de nous assurer que nous sommes au moins protégés, n'est-ce pas ? Parce que la prochaine fois, l'un de nous sera là et nous allons le partager avec vous, et vous allez également en bénéficier de la même manière. Donc, juste avant de passer à la prochaine étape, non ? Nous constatons donc une grande attention en ce moment, et en fait, ces dernières années, depuis que MITRE a en quelque sorte codifié le cadre d'attaque, et nous constatons que l'accent est mis sur des tactiques, des techniques et des procédures similaires. Et mon point de vue à ce sujet est que les tactiques des attaquants ne changent pas vraiment, n'est-ce pas ? Il s'agit du même ensemble de tactiques qui sont exécutées à plusieurs reprises. Les techniques et les procédures peuvent changer en fonction de la technologie, en fonction de la maturité de l'organisation à laquelle elle tente d'attaquer. Par exemple, je pense qu'il est important de comprendre les TTP. Pensez-vous que nous nous concentrons trop sur les TTP par rapport aux similaires ? Pour en revenir à ce que vous avez dit, il s'agit de s'attaquer à la cause première de l'accessibilité de ces TTP, à savoir l'absence de bases. Quel est ton point de vue ?
Brett Johnson 43:27
Je pense que vous devez d'abord et avant tout vous attaquer à ces causes profondes. En même temps, vous savez, comme dans le chat sur l'IA, vous savez, chaque entreprise veut avoir une sorte de composant d'IA, et chaque entreprise veut dire que des criminels utilisent l'IA. Vous pouvez faire valoir un très bon point, et voici ce que je dis, je dis qu'un criminel ou un agresseur ne changera pas sa façon d'attaquer à moins que quelque chose ne l'oblige à changer cela. Oui, tu sais, pourquoi le ferais-je ? Pourquoi commencer à utiliser l'IA si je suis déjà très performant dans ce que je fais ? Je ne le ferais pas, je ne le ferais pas. Il doit y avoir quelque chose qui m'oblige à changer. Vous savez, pour répondre à votre question, je pense que vous devez absolument, continuer avec le TTP, ça. Je ne pense pas du tout que ce soit une mauvaise chose. Mais sachez qu'il y a beaucoup de discussions superflues qui tentent de vendre un produit de sécurité. Vous savez, c'est pourquoi j'aurais besoin d'utiliser l'IA. J'ai en fait un cas d'utilisation pour cela avant que vous ne commenciez à faire valoir cet argument. Comme je l'ai dit maintenant, c'est qu'il est utilisé dans une certaine mesure par des criminels. Il y a cependant beaucoup plus de bavardage que d'utilisation. Comprenez que l'idée de ce qui force un attaquant à changer, puis à jouer avec le TTP à partir de là, mais à tout prix, respectez les règles d'une sécurité adéquate. Vous savez que vous ne pouvez pas exagérer le fait que plus de 90 % des attaques sont utilisées pour des exploits, vous ne pouvez pas le faire. Ce n'est pas Petya en un mot. Vous savez, branchez ça et vous serez plus en sécurité qu'autrement.
Raghu Nandakumara 45:06
Oui, totalement. Et je pense que c'est vrai, on ne le répétera jamais assez. Et je pense qu'en combinant ces deux points que vous avez soulevés, si vous abordez ces 90 %, vous forcerez automatiquement un changement de comportement des attaquants, parce que ces choses qui vivent de la terre, vous n'avez en quelque sorte pas utilisé ces mots ici, mais vous l'avez fait lors de conversations précédentes, c'est qu'il n'y a pas de sophistication technique significative dans la majorité des domaines fiscaux, n'est-ce pas ? Ils vivent de la terre. Mais si nous leur donnons, si nous limitons ou minimisons la superficie des terres dont ils peuvent vivre, n'est-ce pas ? Cela va entraîner une sophistication technique accrue, ce qui va alors soit compliquer les choses, soit nous donner plus de moyens de détecter et de réagir.
Brett Johnson 45:54
Tu as raison Je n'ai pas vraiment abordé cette question de manière spécifique. Nous ne sommes pas des génies de l'informatique. Très bien, certains d'entre nous sont très bons. Donc, moi d'entre nous le sommes même. Mais il n'est pas nécessaire d'être un hacker, pas besoin d'être un génie de l'informatique pour s'en prendre à une entreprise ou à un individu. Pour réussir, vous n'avez pas à le faire. Ce que je dois faire, c'est partager, échanger et collaborer les uns avec les autres. C'est la seule chose que j'ai besoin de faire pour réussir. Comprenez que, si vous arrivez à vous faire comprendre que ces attaquants sont des génies informatiques et sophistiqués, ce point vous permettra d'être suffisamment ouvert d'esprit pour dire : « Hé, ces gars-là ne sont pas des génies ». Ils ne le sont pas, ils ne sont pas vraiment intelligents. Je veux dire, certains le sont, d'autres non. Mais une fois que vous avez ouvert votre esprit à cela, cela vous permet de commencer à dire : « Hé, je peux régler ces problèmes ». Je peux Ce ne sont que des écrous et des boulons. C'est scanner le paysage et dire : « Il s'avère que j'ai ouvert ces ports dont ils se plaignent depuis des années, que je dois fermer des trucs comme ça ». Il s'avère que je suis, j'autorise l'accès à distance. Oui, oui, ce sont des trucs comme ça. Donc, tu arrêtes ça et tout ira bien. Honnêtement, ça ne l'est pas, ce n'est pas vraiment compliqué. Ça ne l'est pas
Raghu Nandakumara 47:17
J'aime beaucoup la façon dont vous l'exprimez, parce que cela revient à penser comme un attaquant, mais n'oubliez pas que l'attaquant essaie de faire la chose la plus simple possible. Alors, réfléchissez aux problèmes simples que vous devez aborder, et cela vous en donnera beaucoup plus pour votre argent. Je pense que c'est ce que tu veux dire.
Brett Johnson 47:36
Oui, tu commences par là. Tu commences par là. Non, je ne cherche pas à savoir si la plupart des attaques sont basées sur l'argent liquide, et c'est le cas. Je recherche l'accès le plus simple, et c'est pourquoi vous optez pour cette approche multicouche de la sécurité. Comprenant que si je vous attaque pour une raison idéologique, peu importe votre niveau de sécurité, je cherche à tout mettre en œuvre. Et c'est un problème, car chaque composant de sécurité que vous avez mis en place peut être contourné si j'y consacre suffisamment d'efforts. Mais les attaques idéologiques constituent un autre type d'attaque. La plupart des attaques sont basées sur l'argent ou sur le statut. Cela signifie donc que cette approche à plusieurs niveaux de la sécurité consiste à essayer d'y intégrer tellement de couches que cela ne vaut pas la peine que je passe du temps ou des efforts pour les examiner. Je vais trouver une autre victime. Oui, et c'est ce qui compte.
Raghu Nandakumara 48:27
Oui, absolument. Alors, changeons un peu de cap, pas massivement. Lorsque les organisations vous demandent des conseils sur la manière dont elles devraient améliorer leur stratégie de cybersécurité, n'est-ce pas ? Qu'est-ce que vous leur offrez habituellement comme perles de sagesse en tant qu'ancien cybercriminel ?
Brett Johnson 48:47
Eh bien, nous sommes en train d'en parler en ce moment. C'est partager, échanger des informations, et c'est l'une des raisons pour lesquelles j'aime beaucoup les conférences. Au moins, lors des conférences, vous pouvez rencontrer d'autres personnes qui évoluent dans le même secteur que vous, qui occupent les mêmes postes que vous. Même s'il existe des règles que vous n'êtes pas censé partager et collaborer, vous pouvez décrocher le téléphone et leur dire : « Hé, Bill, c'est ce que nous voyons ici. Peut-être que tu veux faire quelque chose à ce sujet. » Vous avez donc au moins la capacité d'établir ces connexions et le réseau qui compte en fin de compte. L'autre point est de comprendre, comme je l'ai dit il y a un instant, que peu importe le produit touristique que vous avez mis en place par le Service de sécurité. Oui, il n'y a pas de solution miracle. Il n'y en a pas. Vous aurez des sociétés de sécurité qui diront : « Vous n'avez besoin que de mon produit. Cela va tout guérir. » C'est ce que nous appelons le discours sur la cybersécurité. C'est la même chose que de dire, je te respecterai toujours demain matin. Non, ils ne le feront pas. Alors, comprenez, comprenez qu'il faut cette approche à plusieurs niveaux, mais comprenez aussi que vous. Si vous savez pourquoi vous êtes attaqué, votre statut, votre argent, votre idéologie, si vous savez qui vous attaque, et qu'il n'y a que sept types d'attaquants différents, vous avez des criminels, vous avez des hacktivistes, vous avez des terroristes, vous avez des États-nations, vous avez des initiés, vous avez des hackers à engager, vous avez des scripts kiddies. Ce sont les sept. Tu sais qui t'attaque. Tu peux comprendre pourquoi ils t'attaquent. À partir de là, que recherchent-ils ? Eh bien, ils ne recherchent que des informations, des données d'accès ou de l'argent. Donc, si vous pouvez comprendre ces éléments, qui ils sont, pourquoi ils attaquent ce qu'ils recherchent, et si vous pouvez concevoir la sécurité en fonction de cela, que recherche cette personne ? C'est, c'est que vous n'allez pas essayer de concevoir la sécurité pour quelque chose que personne n'attaquera jamais, absolument. Concentrez-vous donc sur ce qu'ils recherchent, sur qui ils sont et sur les raisons pour lesquelles ils s'attaquent à la sécurité de la conception. Il s'agit de comprendre votre place dans le spectre de la cybercriminalité, car vous en avez une. Et la façon dont je vais t'attaquer dépend absolument de qui tu es et de ce que tu fais. Trouve ça. Concevez la sécurité, faites les écrous et les boulons. Tu sais, je ne suis pas le gars à qui j'ai parlé, bon sang, ça fait probablement cinq ans. Il a travaillé dans une institution financière et il a dit : « Hé, nous avons Splunk ». J'ai répondu : « Oui ». Il répond : « Je ne sais pas comment utiliser Splunk. » J'ai répondu : « Oui, c'est sa propre langue, n'est-ce pas ? » Il dit : « Oui, c'est vraiment difficile. » J'ai répondu : « Alors, qu'est-ce que tu en fais ? » « Eh bien, nous l'avons connecté à un ordinateur et il n'est connecté à rien. » C'est le type qui a un budget supérieur à ce dont vous avez besoin, vous savez, et c'est la faute du gouvernement fédéral à ce sujet. Lorsqu'il s'agit de donner des budgets et de tout ce que l'agence n'utilise pas, il faut revenir en arrière, alors cette agence essaie de trouver des choses pour lesquelles dépenser cet argent. Beaucoup d'entreprises sont comme ça. Vous savez, si nous n'utilisons pas le budget, ils vont réduire notre budget l'année prochaine. Ce n'est pas la bonne façon de penser que vous devez dépasser cet état d'esprit et comprendre que votre fonction consiste à protéger l'environnement pour vous et vos clients ou vos clients. Et nous n'y sommes pas encore. Nous n'y sommes absolument pas. Mais c'est ce dont je parle, vous savez, je parle de, si les types de composants, vous savez, si vous êtes dans le secteur financier, avez-vous ce composant de vérification d'identité, comprenez-vous comment les attaquants peuvent le contourner ? Donc, vous avez également besoin de ces autres composants pour vous assurer que vous examinez les choses, c'est-à-dire les données dans leur ensemble. Comme moi, j'ai travaillé pour l'entreprise il y a quelques années, et ils ont fait de moi leur directeur des affaires criminelles. C'était un truc. C'était absolument un gadget. Ils nient encore aujourd'hui que « oh, non, nous sommes sérieux. Tu l'étais non, c'était un truc. » Alors que je travaillais là-bas, nous avons commencé à voir cet homme au milieu attaquer, et c'est parce que les agresseurs lisent des livres blancs. Ils lisent également des livres blancs depuis des années, et ils ont compris qu'il y a cette pression pour supprimer les mots de passe. Vous êtes donc témoin de nombreux vols de jetons de session en ce moment, de nombreuses attaques par injection de cookies. C'est cette attaque, et encore aujourd'hui, cette attaque qui a été couronnée de succès contre de nombreuses institutions financières. Et si cela fonctionne, c'est parce que cette institution financière s'appuie simplement sur ce cookie. Si tu as le cookie, tu dois être la bonne personne. Mais s'ils prenaient le temps d'examiner toutes les données disponibles pour ce compte, ils constateraient un changement d'appareil, un changement d'adresse IP ou ces différentes anomalies apparaître. Donc, ce dont je parle aussi, c'est d'examiner les données, parce que c'est important. Les données vous révéleront la vérité sur l'environnement et la transaction en cours. Si vous n'examinez pas les données, ou si vous n'examinez que de petites parties des données globales, vous ne vous rendez pas service à vous-même et à vos clients. Il examine donc également les données.
Raghu Nandakumara 53:45
Alors, donneriez-vous des conseils sur les stratégies clés que les organisations devraient adopter, par exemple, en haut de la discussion dont nous avons discuté, sur le type de confiance et sur ce que signifie la confiance ? Et au cours des 10 à 15 dernières années, l'ensemble de la stratégie Zero Trust est devenu en quelque sorte au premier plan. Quel est votre point de vue sur la bonne stratégie pour que les organisations adoptent Zero Trust, etc. ?
Brett Johnson 54:10
Je pense que je suis absolument partante pour Zero Trust. Je pense que, et j'en parle dans une certaine mesure, c'est, je l'ai mentionné tout à l'heure, pour que je puisse vous victimiser, je dois établir un certain degré de confiance. Et je crois sincèrement que chaque nouvel engagement entre le client et l'organisation doit se faire dans une perspective Zero Trust. Tu sais, ce n'est pas quelque chose qui dit : « Hé, nous t'avons déjà fait confiance. Nous savons que cet identifiant ou ce cookie était valide depuis la dernière session. Donc, il revient. Tu es prête à y aller. » Non, ça ne devrait pas être comme ça. C'est comprendre qu'en tant qu'attaquant, il est très facile pour moi de voler un cookie. Il est très facile pour moi de voler une identité ou un numéro de carte de crédit ou de falsifier l'empreinte d'un navigateur, et d'entrer comme ça. Il s'agit donc de s'assurer que chaque nouvelle interaction est vérifiée. Et ça remonte à Reagan, non ? Ayez confiance, mais vérifiez. Tu sais, oui, je vais te faire confiance, mais je vais vérifier tout ce que tu dis. C'est ça qui compte. En même temps, et c'est, c'est l'une des choses que j'ai toujours du mal à apprécier. Vous ne voulez pas créer trop de frictions dans cet environnement au point que le client se tourne vers un autre site. Oui, ça devient un gros problème. Et oui, tu peux arrêter toutes les fraudes du monde. La seule chose que vous avez à faire est de fermer le site Web, il l'arrêtera. C'est ce que tu ne veux pas. Vous voulez trouver cet équilibre entre la sécurité et les frictions, mais cet équilibre doit absolument être davantage axé sur l'aspect de la sécurité. Il le faut. Donc, en arrière-plan, il s'agit de mettre en place des éléments qui vous permettent d'anticiper le niveau de vérification qui doit être apporté à chaque interaction qui se présente. Vous savez, est-ce que ça vient d'une adresse IP différente de celle habituelle ? Cela semble-t-il provenir d'un proxy potentiel ou d'un reroutage depuis quelque part ? Qu'est-ce qui se passe ? S'agit-il d'un nouvel appareil ? Est-ce un ancien appareil qui arrive ? Le même appareil ou la même plage IP a-t-il accès à d'autres comptes ? Combien de fois ont-ils oublié le mot de passe ? Est-ce un ancien mot de passe utilisé pour une demande de changement de mot de passe ? Je veux dire, toutes ces choses peuvent être faites en arrière-plan avant que le client ne soit confronté à quelque chose qui pourrait provoquer des frictions supplémentaires de son côté. Donc, ce sont les choses que vous devez faire. Agissez, faites tout ce que vous pouvez en arrière-plan pour anticiper les risques de fraude, puis agissez à ce moment-là. C'est ce qui devient important. Vous savez, une étude a été réalisée l'autre jour sur les CAPTCHA, qui montre en gros qu'ils ont bien étudié les CAPTCHA. Et soyons honnêtes, il existe beaucoup de CAPTCHA. Il n'y a que des frictions pour les gentils. Et c'est, c'est quelque chose auquel tu dois faire attention, d'accord. Il fait donc les choses en arrière-plan pour ne pas avoir à retarder ce client.
Raghu Nandakumara 57:14
Laquelle de ces images contient un cycle ? Oui, vous finissez par, nous étions justement en train d'en parler, puis vous finissez par tout sélectionner, parce que tout à coup, tout semble faire partie d'un cycle, et puis le message indique le mauvais essai à nouveau, n'est-ce pas ? Et ça y est, et tu es 40 minutes plus tard. Oui, oui, exactement, exactement. C'est bon Vous nous avez consacré une grande partie de votre temps aujourd'hui, et nous pourrions continuer éternellement. Brett, avant de terminer, pourquoi ne pas nous laisser une anecdote amusante dont nous pourrions tous tirer des leçons ?
Brett Johnson 57:45
Une anecdote amusante ? OK, ouais, ouais. Vous savez, j'ai parlé de confiance et du premier véritable crime en ligne que j'ai commis. Les gens m'ont peut-être déjà entendu en parler, mais c'est une sorte de microcosme du fonctionnement de la plupart des escroqueries. J'étais, j'étais à Lexington, dans le Kentucky. Je ne m'en sortais pas très bien avec les escroqueries de rue. J'ai trouvé eBay, j'ai vraiment aimé eBay. Je ne savais pas comment gagner de l'argent. Et un soir, je regardais Bill O'Riley en tant qu'animateur d'Inside Edition. Ils faisaient le portrait de Beanie Babies, et le Beanie Baby dont ils parlaient était Peanut, l'éléphant bleu roi, vendu 1 500 dollars. Alors, j'ai commencé à chercher Peanut. Je n'arrive pas à le trouver. J'ai fini par acheter un bonnet gris pour 8 dollars, je suis passée et j'ai acheté de la teinture bleue, je suis rentrée chez moi, j'ai essayé de teindre le petit bonhomme. Il s'avère qu'il était en polyester. Ne retiendrait pas très bien le colorant. Faites-le sortir et il a l'air d'avoir la gale. Mais j'ai escroqué 1 500$ à la dame. J'ai trouvé une vraie photo sur la mienne. Je l'ai publié. Elle pensait que j'avais le vrai truc. Elle remporte l'enchère. Je lui ai escroqué 1 500$, et c'est là que j'ai appris la première leçon de la cybercriminalité. Elle savait qui j'étais, mais si vous retardez une victime assez longtemps, vous continuez à la remettre à plus tard. Beaucoup d'entre eux sont exaspérés, jettent les mains en l'air, s'en vont et ne signalent pas le crime. Donc, c'est vraiment la première leçon. La plupart des gens ne signalent pas le crime. La plupart des gens abandonnent. Très bien, c'est donc la première leçon. Mais il faut aussi comprendre que cette chose est aussi un microcosme de la plupart de ces escroqueries. Vous avez une victime, là, une victime potentielle qui a envie de quelque chose. Ils veulent quelque chose. Eh bien, ce désir me permet, en tant que criminelle, de gagner plus facilement la confiance de cette victime, de m'assurer qu'elle réagit émotionnellement, et non rationnellement ou logiquement. Elle a donc fait confiance à la plateforme eBay. Elle avait confiance en la technologie. Elle n'a pas compris que j'utilisais un outil, une photo d'une personne réelle, pour gagner la confiance, pour ouvrir cette porte de confiance. Une fois cette porte ouverte, quel est le talent d'un ingénieur social ? Suis-je doué pour la manipuler pour me donner de l'argent ? C'est ce que j'ai fait. Donc, le désir de la victime, la technologie, les outils, l'ingénierie sociale pour établir la confiance en ligne, et enfin, cette personne abandonne, s'en va et ne dénonce jamais le crime aux forces de l'ordre. Tout cela est une sorte de microcosme de la façon dont la plupart de ces escroqueries, que ce soit en cryptomonnaie, sur eBay ou sur PlayStation 5 ou quoi que ce soit d'autre. Toutes ces escroqueries fonctionnent en ligne. Comprenez-le. Comprenez que c'est un désir. Vous voulez quelque chose dont le désir signifie que vous allez réagir plus émotionnellement que logiquement ou rationnellement. C'est comprendre que tant que la plateforme est là, il n'y a aucune raison pour laquelle vous devriez lui faire confiance intrinsèquement. Même chose pour la technologie Zero Trust. Tu sais, pourquoi devrais-je m'y fier ? Il y a des attaquants et des prédateurs partout. C'est l'anecdote que j'utiliserais. Si nous comprenons ces choses dans le monde réel, nous avons tendance à avoir une assez bonne conscience de la situation. Nous savons quand nous sommes dans un mauvais quartier, quand les choses sont sur le point d'éclater ou quoi que ce soit d'autre. Cela ne se traduit pas très bien dans un environnement en ligne, mais nous devons comprendre que les prédateurs sont partout. Et si nous comprenons cela, ce n'est pas pour mener une vie paranoïaque, mais pour comprendre que les agresseurs sont partout. Et si nous comprenons cela, notre niveau de sensibilisation augmentera et sera automatiquement plus sûr à cause de cela.
Raghu Nandakumara 1:01:19
Fantastique, je veux dire, je pense que c'est l'endroit idéal pour terminer cette conversation en particulier. Brett, cela a été un privilège et une joie de vous parler. Alors, merci beaucoup pour le temps que vous m'avez accordé. Non, merci à vous et à votre honnêteté.
Brett Johnson 1:01:35
Je vous en suis reconnaissante. Merci beaucoup, et j'ai vraiment adoré discuter avec vous. Merci beaucoup.
Raghu Nandakumara 1:01:39
Merci d'avoir écouté l'épisode de cette semaine du segment pour encore plus d'informations et des ressources Zero Trust. Consultez notre site web à l'adresse illumio.com. Vous pouvez également communiquer avec nous sur LinkedIn et Twitter à Illumio, et si vous aimez la conversation d'aujourd'hui, vous pouvez retrouver nos autres épisodes partout où vous trouvez vos podcasts. Je suis votre hôte, Raghu Nandakumara, et nous reviendrons bientôt.