Le chef de la sécurité a pris des mesures extrêmes pour se cacher des menaces de piratage

Sima a écrit dans un article récent sur son site Web concernant les mesures qu’il a prises. Elles comprenaient la création d’alias en ligne, l’ouverture de cartes de crédit à usage limité et la transmission de messages texte de récupération de mot de passe pour les comptes en ligne vers un service téléphonique en ligne au lieu de son téléphone portable personnel. Sima a même utilisé un nom différent pour acheter une voiture de manière anonyme, cachant ainsi sa véritable identité au concessionnaire.

Cette interview a été éditée pour plus de style et de clarté.

– Pro : Pourquoi avez-vous décidé de prendre des mesures aussi approfondies pour vous protéger ?

Sima : Les catalyseurs de cette situation étaient deux choses qui se produisaient. Ma femme, tout d’abord, qui lance cette émission télévisée [Food Network’s “Chef Dynasty: House of Fang”] cela inclut moi-même et certains membres de ma famille. Ma femme a également été sur Food Network dans le passé, a un compte Instagram et a toutes ces choses qui se passent sur les réseaux sociaux. Nous avons été témoins de comportements très troublants de la part de certaines personnes, comme des harceleurs. J’ai vraiment creusé profondément et je pense que c’est la seule chose qui a allumé le match.

– Pro : Le groupe d’analyse des menaces de Google a publié il y a quelques jours des détails sur des pirates nord-coréens ciblant les chercheurs en cybersécurité et communiquant même avec eux pendant des mois avant de leur envoyer des logiciels malveillants. Avez-vous eu le sentiment qu’en tant que professionnel de la cybersécurité, vous étiez également une cible ?

Sima : Oui, et je pense en fait que de nombreux responsables de la sécurité de l’information sont de bonnes cibles potentielles pour les pirates. Les RSSI, dans l’ensemble, sont publics et tout le monde possède une page LinkedIn. Si vous êtes un attaquant ciblant une organisation, le fait de pouvoir vous trouver et vous identifier fait automatiquement de vous une cible. Chaque RSSI s’inquiète de choses comme le piratage de la carte SIM. Si vous comptez sur une authentification à deux facteurs qui remonte à votre numéro réel connu publiquement, c’est l’erreur numéro un. [In SIM hijacking or SIM swapping attacks, hackers use personal information to impersonate a customer of a telecoms company, and convince the provider to port their number to a new SIM card they control. This enables hackers to receive text messages sent to that number, such as verification messages, which they often use to access other accounts.]

– Pro : Vous avez suivi un processus complexe de verrouillage de tous vos comptes en ligne. Quelle a été la partie la plus difficile ?

Sima : Un bon exemple de ce dont nous parlions est que pour chaque site Web, vous devez vous assurer que vous disposez de 2FA, vous devez vous assurer que votre e-mail de récupération ne renvoie pas au même e-mail que le vôtre. La récupération est envoyée vers un e-mail de sécurité, et si elle force les SMS, elle doit être envoyée vers un numéro de téléphone qui n’est pas le vôtre.

Vous ciblez vos plus gros comptes, vos comptes financiers ou vos comptes d’assurance, vos services publics, toutes ces choses, mais quand vous commencez à parcourir cette liste, elle est longue. Lorsque vous commencez à parcourir chacun de ces éléments, demandez-vous : « Comment puis-je m’assurer qu’il existe une sorte de deuxième facteur ou m’assurer que ce SMS est envoyé à un endroit sécurisé ? » C’est juste une corvée et la longue traîne de ce genre de choses est tout simplement horrible.

– Pro : Avez-vous simplement fait cela pour vous-même ou pour votre femme et votre famille aussi ?

Sima : Je l’ai fait pour moi et ma famille. Je recommande fortement à tout le monde de s’inscrire pour une adresse e-mail, distincte de la vôtre, sur laquelle ne figurent que le mot de passe perdu, les SMS et Google Voice. Redirigez toujours la récupération du mot de passe, redirigez toujours les SMS, si nécessaire, vers là.

Pour tous les services qui ne sont pas très importants, créez un simple alias et inscrivez-vous pour ceux qui y sont associés, et faites en sorte que ces éléments pointent vers ce compte. Je pense que ce que vous découvrirez, c’est que cela aide dans une partie de votre anonymisation, cela aide dans les cyber-violations, cela aide dans tout ce genre.

– Pro : Vous avez écrit sur votre site Web que le fait de suivre ces étapes vous a fait comprendre à quel point la confidentialité est importante pour la sécurité. Pourquoi avez-vous voulu créer ces différentes identités distinctes afin que vous ne puissiez pas être suivi en ligne ?

Sima : Il n’y a pas de sécurité sans confidentialité. La confidentialité en fait partie. Ce n’est pas tout et ce n’est pas ce dont vous dépendez, mais s’assurer que l’attaquant ne connaît même pas le numéro à échanger avec la carte SIM rend le travail beaucoup plus difficile.

– Pro : Quelles sont les limites de toutes ces mesures de sécurité étendues que vous avez mises en place et contre quoi aimeriez-vous vous protéger mais ne pouvez pas le faire ?

Sima : La leçon que j’ai apprise de cela est qu’un individu ne devrait pas avoir à faire autant d’efforts pour préserver sa vie privée. C’est vraiment le résultat fondamental : pourquoi dois-je m’inscrire à ces services sous un pseudonyme en raison d’une violation de données ou d’un représentant du support client rémunéré ? Ce n’est tout simplement pas quelque chose dont je devrais m’inquiéter en tant que consommateur.

Écrivez à Catherine Stupp à [email protected]