Discussion :

[Sandra Coret]

48 % des répondants à une enquête pensent que les cyberattaquants devraient recevoir un pourcentage des fonds qu'ils volent et ne pas être poursuivis s'ils rendent la majorité de leur butin

Selon une nouvelle étude de la société de cybersécurité Naoris Protocol, 48 % des personnes interrogées pensent que les criminels qui pénètrent dans des réseaux informatiques dans l'intention de nuire devraient recevoir un pourcentage des fonds qu'ils volent et ne pas être poursuivis s'ils rendent la majorité de leur butin.

L'enquête, menée auprès de plus de 500 personnes travaillant dans les domaines de la cybersécurité et du web, a révélé que 38 % seulement des personnes interrogées n'étaient pas d'accord avec l'idée de ne pas poursuivre les pirates informatiques malveillants, tandis que 13 % étaient incertaines.

Certains affirment que l'absence de poursuites peut être acceptable si les pirates rendent 100 % de ce qui a été volé et fournissent des informations permettant d'apporter un correctif de sécurité en échange d'une prime raisonnable.

Selon Naoris Protocol, un fort mouvement soutient le rôle des hackers légitimes et éthiques qui travaillent dans les limites des règles de la prime. De nombreuses entreprises considèrent désormais les primes comme une partie intégrante de leur budget de cybersécurité. Par exemple, le marché total du bug bounty était évalué à 223 millions de dollars en 2020, et selon la société de recherche ATR, il devrait augmenter de 54 % par an, pour atteindre 5,5 milliards de dollars en 2027.

Monica Oravcova, cofondatrice et directrice de l'exploitation de Naoris Protocol, déclare :

Laisser les hackers s'en tirer avec leurs activités néfastes non seulement sape toute l'éthique d'un système financier décentralisé, mais cela encourage également un comportement qui favorise la méfiance, et cela n'aidera pas à l'adoption massive de la blockchain et des systèmes décentralisés pour remplacer les processus centralisés obsolètes.

Par conséquent, elle ne peut continuer à être considérée comme quelque chose à tolérer à quelque niveau que ce soit. Les principes fondamentaux d'un système financier sûr et équitable ne changent pas. La prémisse selon laquelle la seule façon de résoudre le problème du piratage informatique est d'intégrer le problème dans la solution est fatalement erronée.

Cela peut régler une petite faille pendant une courte période, mais la faille continuera de s'étendre sous le poids des réparations fragiles et aboutira à un marché déstabilisé.

Dans certains cas, des pirates informatiques se sont vu offrir d'énormes primes et des contrats de travail en échange du partage de la faille et du remboursement des fonds. Par exemple, LodeStar Finance, qui a été piraté pour un montant d'environ 6,9 millions de dollars à la fin de l'année dernière, a lancé un appel à la restitution des fonds avec une "généreuse récompense négociable" dans le cadre d'un règlement. Bien que cette tactique ait parfois fonctionné, les offres ne sont pas toujours acceptées.

Source : Naoris Protocol

Et vous ?

Trouvez-vous cette étude pertinente ?
Quel est votre avis sur le sujet ? les cybercriminels devraient-ils être poursuivis ou, au contraire, récompensés en échange de leur aide sur les découvertes des failles de sécurité ?

Voir aussi :

Les hackers éthiques découvrent plus de 65*000 failles logicielles en 2022, soit une augmentation de 21 % par rapport à 2021, selon un rapport HackerOne

TikTok peut contourner les protections de confidentialité d'Apple et de Google, et accéder à l'intégralité des données des utilisateurs, selon des études

Wormhole se fait voler 320 millions de dollars d'éther et propose aux hackers une prime de 10 millions de dollars, en échange des fonds dérobés et des détails sur la vulnérabilité exploitée

[marsupial]

Une méthode pour essayer de transformer les pirates en hackers éthiques. Discutable. Les pires n'accepteront pas et ce sont souvent les meilleurs techniquement.

[walfrat]

Une méthode pour essayer de transformer les pirates en hackers éthiques. Discutable. Les pires n'accepteront pas et ce sont souvent les meilleurs techniquement.

Dire que les pires sont forcément meilleurs techniquement me paraît un peu gonflé, surtout si on considère qu'il est largement "plus facile" de pirater que d'empêcher de pirater.

En revanche, les "pires", au sens ou il font le plus de dégâts, volent le plus d'argent, ont certainement plus de moyens pour obtenir leur position, acheter des failles 0-days, merci le soutien de l'état pour se faire du fric sur le dos d'entreprises dans d'autres pays.

[marsupial]

Alors je précise : les meilleurs techniquement parmi les pirates. Les premiers pirates informatiques ne faisaient pas confiance en l'outil et voulaient plus de sécurisation et ils étaient méprisés. Maintenant que c'est devenu un business, ils veulent plus de fric en étant plus ambitieux : Colonial Pipeline. Et ils sont respectés alors qu'il faudrait faire toute la philosophie inverse.

Je suis un défenseur dans l'âme et j'ai vu un exposé d'un black hat que je ne répandrai pas ici mais cela ne m'étonnerait pas que lui ne se laisse pas facilement acheté tellement il est doué techniquement.

edit : disons que ce qu'il a produit était gagne petit comme application de son hack mais nul doute que ce soit un exemple et fait partie du code du projet de sécurité de Thales que j'avais découvert bien avant lui.