Entretien du magazine Fortune avec le directeur de la sécurité de Kraken : Pourquoi devrions-nous engager une équipe de pirates informatiques pour nous attaquer nous-mêmes ?

Texte : Marco Quiroz-Gutierrez

Personne interviewée : Nick Percoco, chef de la sécurité, Kraken

编译 :Luffy,Actualités de la prospective

! [Entretien du magazine Fortune avec le directeur de la sécurité de Kraken : Pourquoi devrions-nous embaucher une équipe de pirates informatiques pour nous attaquer nous-mêmes ?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Nick Percoco, directeur de la sécurité, Kraken

Au cours d’une carrière de plus de deux décennies, Nick Percoco a aidé des entreprises à mettre en place des cybersécurités. Depuis que Percoco a pris le rôle de directeur de la sécurité de Kraken en 2018, il a joué un rôle déterminant dans la formalisation de sa stratégie de sécurité. Aujourd’hui, il supervise la sécurité, l’informatique et la fraude sur les échanges de crypto-monnaies.

Le magazine Fortune a récemment interviewé Percoco pour discuter en détail des raisons pour lesquelles Kraken améliore la sécurité grâce au piratage amical et pourquoi les Américains sont particulièrement vulnérables aux attaques malveillantes.

Comment as-tu débuté dans la crypto et comment es-tu entré dans Kraken ?**

J’ai un laboratoire médico-légal (SpiderLabs, fondé par Percoco et qui fait maintenant partie de Trustwave) qui dispose d’un grand nombre de GPU pour le craquage de mots de passe. Nous sommes donc dans le domaine de la criminalistique, nous obtenons des fichiers cryptés, nous essayons de déchiffrer (en essayant de trouver des mots de passe faibles dans l’environnement), mais la plupart du temps, ces GPU sont inactifs. Vers 2011, 2012, certaines personnes de notre laboratoire ont commencé à parler de Bitcoin, du genre : « Hé, nous pouvons miner du Bitcoin avec ces GPU. » Ils m’ont demandé s’ils pouvaient le faire, et à l’époque, le bitcoin ne valait presque rien, et j’ai répondu : « Oui, bien sûr. Amusons-nous. Ensuite, tout le monde crée des portefeuilles, nous nous envoyons des bitcoins, et à ce moment-là, c’est un peu comme explorer l’avenir de l’argent.

Il ne s’agit pas vraiment d’un investissement ou d’une stratégie à long terme, c’est juste parce que « c’est vraiment cool ». C’est cette technologie sans permission qui vous permet d’envoyer de l’argent sur Internet sans avoir à passer par qui que ce soit, comme un portefeuille à l’autre sur la blockchain. Aujourd’hui, on comprend que cette technologie est intéressante, mais il y a dix ans, c’était plutôt de la science-fiction. Je suis donc très intéressé par cela, mais je ne suis pas vraiment allé assez loin pour être un passionné de Bitcoin. Je n’ai pas dit : « Je vais miner des centaines ou des milliers de bitcoins, je n’ai pas suivi cette voie. » 」

J’ai travaillé dans la communauté de la sécurité et la communauté des hackers, et il y a un peu de chevauchement entre la communauté crypto et la communauté de la sécurité. Après avoir travaillé sur la sécurité pour des startups, Trustwave a été vendu à Singtel, puis j’ai travaillé chez Rapid7, où je les ai aidés à entrer en bourse, une autre société de cybersécurité. Plus tard, j’ai rejoint une entreprise d’IA et j’ai été responsable de leur sécurité pendant plusieurs années. Nous avons été contactés par un de mes amis et PDG de Kraken, Dave Ripley. Kraken recrute des talents pour déterminer le programme de sécurité. J’ai commencé à discuter avec Dave (qui était notre directeur de l’exploitation à l’époque) et j’ai été présenté à Jesse Powell, l’ancien PDG et fondateur de Kraken. C’est à ce moment-là que j’ai rejoint Kraken à l’automne 2018 en tant que chef de la sécurité. Aujourd’hui, je suis ici en charge de la sécurité, de l’informatique et de la fraude.

À quoi ressemble un poste type pour un responsable de la sécurité ? **

Je l’ai organisé un peu comme une pile, avec les choses les moins techniques en haut et les choses les plus techniques en bas. Tout en haut de cette pile, les gens avec qui je travaille sont essentiellement dans ce que nous appelons les politiques de sécurité. Nous n’arrêtons pas de penser : « Où devons-nous aller avec nos programmes de sécurité, que voyons-nous ? Quelles tendances observons-nous ? De quoi pouvons-nous tirer des leçons ?

La couche suivante est essentiellement notre groupe de gouvernance de la sécurité de l’information – politiques et procédures, exigences réglementaires en matière de sécurité, audits externes, diligence raisonnable des fournisseurs et audits de sécurité, et diligence raisonnable à l’égard des clients.

Le niveau suivant est la fonction des opérations de sécurité au sein de l’entreprise, c’est-à-dire notre équipe bleue qui surveille la réponse de détection aux incidents de sécurité, qu’ils soient internes ou externes à notre entreprise. Il s’agit d’une équipe 24h/24, 7j/7 et 365j/an au sein de l’entreprise. C’est très important pour nous. Lorsque quelque chose se produit, nous devons le savoir en quelques secondes, pas trois semaines plus tard. Lorsqu’il se passe quelque chose à l’intérieur ou à l’extérieur de l’entreprise qui nous concerne, nous le savons en quelques secondes.

Nous avons également une équipe rouge, qui est essentiellement une équipe de pirates informatiques que j’ai recrutée pour nous pirater régulièrement, de l’extérieur, de l’intérieur, de l’ingénierie sociale, etc., parce que les criminels n’ont pas de règles, et ils vont essayer tous les angles possibles.

Nous disposons également d’une équipe de sécurité des applications qui vérifie chaque ligne de code, que ce soit dans notre application mobile ou sur notre site Web. Chaque changement est scruté sur chaque ligne de code - chaque dépendance que nous pourrions introduire dans cette base de code est examinée à la loupe. Nous détectons constamment les vulnérabilités potentielles, les vulnérabilités réelles, et soumettons des rapports de bug bounty, ce qui est un cycle constant d’identification et de correction.

**Comment Kraken soutient-il les clients touchés par l’escroquerie ? **

La plupart des clients sont trompés par le biais de l’hameçonnage, de sites Web faux ou frauduleux. Les clients se promènent en dehors de notre écosystème et interagissent avec ces sites à tout moment, c’est pourquoi nous avons des personnes dédiées en charge - en moyenne, nous supprimons trois à quatre sites Web, comptes de médias sociaux et autres sites frauduleux chaque jour.

Quels sont quelques exemples d’escroqueries courantes aux crypto-monnaies ? **

Souvent, ces escroqueries sont très rudimentaires. Ils ressemblent plus à de l’ingénierie sociale qu’à du piratage comme les gens les appellent. Dans ces cas, ce qui se passe généralement, c’est que quelqu’un se lie d’amitié avec eux, leur fait sentir qu’on leur fait confiance et commence à leur dire de faire des choses qu’ils ne comprennent pas tout à fait, puis leurs fonds sont volés. La chose pourrait être quelque chose comme : « Oh, il va y avoir un airdrop et nous enregistrons un portefeuille pour obtenir des jetons, donc vous devrez entrer dans votre portefeuille et nous donner la phrase de récupération. Nous vous inscrirons ensuite et vous recevrez 10 000 $ de jetons de largage. Puis les gens l’ont fait, et environ 10 minutes plus tard, les portefeuilles ont été saccagés et ils ont été expulsés de Discord.

Il existe d’autres escroqueries low-tech qui ne sont en fait que des escroqueries à l’investissement où les gens voient un site Web d’investissement d’apparence légitime et finissent par envoyer de l’argent à cette société, qui vole leur argent.

**Pouvez-vous nous parler de votre expérience de la recherche d’une vulnérabilité et du processus qui s’est déroulé ? **

Voici un exemple : nous avons un client qui a un problème avec son compte. Ils prétendent parler à notre personnel de soutien. Ils disent que quelqu’un s’est connecté à leur compte et en a retiré des fonds. Lors de conversations avec notre équipe d’assistance, ils ont mentionné l’application mobile qu’ils utilisaient et la façon dont ils ont décrit l’application mobile ne correspondait pas à notre expérience mobile.

Le personnel d’assistance leur a donc demandé d’envoyer des captures d’écran de l’application mobile. Bien sûr, ce n’est pas notre application mobile. Il porte le même nom et notre logo, mais ce n’est pas le nôtre. Il ne s’agit que d’une application Kraken très rudimentaire. Ensuite, nous leur avons demandé d’où ils avaient téléchargé l’application, et il s’est avéré qu’ils utilisaient un magasin où vous pouviez télécharger l’application sur le côté. Ce n’est pas comme Google Play ou l’App Store, où il y a beaucoup d’applications cryptographiques.

En quoi la cybersécurité aux États-Unis est-elle différente de celle à l’étranger ? **

Les gangs criminels ont tendance à cibler davantage de citoyens américains. La raison principale est qu’aux États-Unis, il est plus facile pour les gangs criminels d’obtenir les informations d’identité de leurs victimes. Il y a le concept d’agrégateur de données aux États-Unis, où vous pouvez trouver n’importe quelle information sur n’importe quel individu moyennant des frais. Vous pouvez trouver toutes leurs adresses passées, les membres de leur famille, leurs adresses e-mail, leurs numéros de téléphone et d’autres informations sensibles. À l’étranger, c’est un peu difficile à cause de certaines lois sur la protection de la vie privée.

En tant que criminel, si je voulais cibler les personnes actives dans l’espace des crypto-monnaies, je les trouverais probablement sur les médias sociaux. Ils peuvent être très actifs sur Twitter crypto. Je peux faire des recherches et déterminer qui ils sont, mais cela peut être difficile s’ils sont en dehors des États-Unis. En fait, en tant que criminel, je peux trouver quelqu’un, mais je n’ai pas nécessairement à le cibler – je peux cibler des membres de la famille qui vivent dans la même maison et qui ne sont peut-être pas aussi avertis en matière de sécurité. Une fois que j’ai accédé à l’ordinateur de ce membre de la famille, je suis sur le même réseau que la personne que je veux suivre.

Quel sera l’impact de l’IA sur la cybersécurité ? **

L’intelligence artificielle permet à l’équipe bleue d’évoluer. Par exemple, vous pouvez entraîner un modèle d’IA pour détecter les activités potentiellement malveillantes dans des ensembles de données plus volumineux. Avec les outils traditionnels, il faut souvent appliquer des règles plus statiques. Avec l’IA, ces règles n’ont pas besoin d’être aussi statiques, et elles peuvent être plus conformes à la logique humaine, par exemple si vous demandez à une personne de consulter un fichier journal et peut-être d’être en mesure de déterminer si quelque chose semble suspect, plutôt qu’un simple ensemble de règles. L’ensemble de règles peut le manquer, et un humain peut le détecter, mais seulement à une certaine vitesse. Vous ne pouvez pas fournir un milliard de journaux à un humain toutes les heures, mais vous pouvez fournir un milliard de journaux à une IA toutes les heures. Je pense que cela aide la défense.

Du côté des attaquants, l’intelligence artificielle est également utile. Par exemple, les appels vidéo, les deepfakes qui changent de voix. Du point de vue de l’escroc, cela permet à la victime de se défaire de ses défenses. En fait, c’est ce que notre équipe rouge a fait. Ils ont pris toutes les vidéos que j’ai faites ou des parties d’entre elles et les ont introduites dans l’IA. Ils ont créé ma voix pour appeler différents employés et leur demander de faire quelque chose et voir si l’employé le ferait réellement parce que cela me ressemblait exactement. Quand j’entends ces sons simulés, c’est un peu incroyable. Ça me fait un peu grincer des dents parce que c’est comme ma voix, mais pas tout à fait.

Qu’est-ce que cela signifie pour l’avenir de la finance ?

Je pense que l’avenir de la finance est un monde où vous êtes libre d’effectuer des transactions avec n’importe qui, sans permission, dans votre monde, peu importe qui vous êtes ou où vous vivez, et c’est la promesse de la crypto-monnaie. C’est pour cela que nous sommes ici, pour permettre aux gens de le faire. Sur cette planète, beaucoup de gens sont désavantagés et ils ne peuvent pas faire ces choses en utilisant le système financier traditionnel, donc la promesse des crypto-monnaies est de permettre aux gens de le faire.