Sécurité numérique
Les soirées du VB2023 ont été marquées par des interactions fascinantes entre des experts en sécurité et le monde quelque peu énigmatique des fournisseurs de graywares.
10 octobre 2023
•
,
3 minutes. lire
Tard dans la nuit au VB2023, c’est quand les gobelins sortent – des visages conçus de fans soigneusement joués et des leurres imposés par l’industrie de la musique. application potentiellement indésirable (PUA) fournisseurs, installateurs d’applications sponsorisées et au paiement par clic et autres monétiseurs de téléchargement qui forment un écosystème de plusieurs milliards de dollars. Et au cas où vous vous demanderiez ce qu’ils veulent, c’est pour inciter au déblocage de logiciels à la limite – vraiment à la limite – effrayants qu’ils veulent que les fournisseurs de logiciels de sécurité réputés ignorent et arrêtent de bloquer. Nous le savons, car ils nous le demandent fréquemment.
Mais les clients préféreraient avoir moins de PUA que plus d’entre eux. Les produits ESET ont la possibilité de interdire le PUA logiciel. Les clients ont le choix, et c’est à eux de décider.
Mais revenons au lobby nocturne du Novotel : l’amour finit par se transformer en haine dans une exposition bipolaire ; apparemment, nous mettons parfois des bâtons dans les roues de leurs plans d’affaires.
Autour du Conférence VB2023 il y a une poignée de réunions ad hoc (ou plus organisées) visant à légitimer le groupe de fournisseurs de logiciels pseudo-louches (mais toujours prétendument réformateurs), désespérés d’essayer de vendre discrètement aux fournisseurs de logiciels de sécurité qu’ils sont réellement réformés, et ils méritent donc d’être débloqués.
Pour le vendre, ils emploient du personnel de « conformité », généralement des gens charmants et bavards, heureux de passer du temps sous les lumières pulsées du bar jusqu’à ce que chemin trop tard alors que nous devrions vraiment dormir. Abreuver les vendeurs d’alcool peut avoir un certain attrait pour les plus motivés par la fermentation d’entre nous, mais pas au point de nous enlever la cervelle ; mais nous en sommes là depuis un certain temps, et avertir les nouvelles recrues de ces tentatives d’ingénierie sociale est une tradition séculaire.
ESET n’est pas seul à cet égard, il existe de nombreux autres éditeurs de logiciels de sécurité qui bénéficient du même traitement spécial : personne ne conteste que la flatterie (et la fermentation pour certains) est une bonne idée, mais en fin de compte, nous travaillons pour nos clients, pas pour ces vendeurs de PUA ou leurs actionnaires. Ce sont nos clients qui nous paient, et ils le font pour recevoir de moins en moins de bruit blanc sur leurs appareils informatiques, pas plus.
Plus récemment, les fournisseurs de PUA et leurs amis qui gagnent de l’argent dans cet écosystème se sont rassemblés pour former des organismes de certification visant à déterminer plus précisément jusqu’où est trop loin pour être encore classé comme propre. Ils croient qu’en créant des certifications, ils peuvent amplifier la bonne volonté en matière de création de curriculum vitae et que leur marque de confiance signalera (espérons-le) à des tiers leur fiabilité, ce qui leur sera utile. Mais ces organisations n’ont pas tendance à s’entendre longtemps entre elles, encore moins avec des étrangers, et le ciment qui les lie a tendance à se dissoudre, les forçant à se briser. Garder des chats en troupeau peut être aussi difficile que peu gratifiant.
La confiance dans le secteur de la sécurité est un jeu de longue haleine, et très peu de fournisseurs alignés sur PUA ont vécu assez longtemps pour bien jouer. Il faut du temps et des sommes considérables pour assurer correctement la sécurité, et de nombreux talents technologiques sont prêts à se consacrer au quotidien à la partie ingrat et méconnue du fonctionnement des logiciels, sans parler de leur sécurité.
À mesure que les enjeux liés à la protection des données personnelles deviennent plus importants – à la lumière du nombre croissant de dossiers de santé, de transactions financières et, fondamentalement, de la plupart de ce qui fait fonctionner notre vie numérique et physique quotidienne – il est également important de disposer de logiciels de sécurité adéquats, en se trompant sur les erreurs. côté prudence. Les PUA et la prudence ne se retrouvent pas souvent dans la même phrase.
Il est très tard dans la nuit maintenant (j’ai écrit ceci jeudi soir) et le bar a finalement baissé le rythme ambiant des airs techno assourdis (ou est-ce ma tête ?) alors que les gens commencent à disparaître dans les couloirs de l’hôtel pour se reposer brièvement en prévision de une autre (belle) journée de conférence. Ici, au VB2023 de Londres, c’était agréable de voir les gens qui travaillent dur pour protéger ce que chacun valorise, y compris nous-mêmes. Je reçois une dernière vague de la part du personnel chargé de la conformité alors qu’ils disparaissent dans les couloirs. Je les reverrai probablement lors de la prochaine conférence.
Nous aurons toujours de bonnes et de mauvaises technologies, ainsi que de nombreuses nuances de gris. Le gris est la partie la plus difficile.
