Vulnérabilités logicielles : le double-jeu des Etats-Unis
Si d’un côté, l’administration Obama prône les échanges public-privé et la communication sur les incidents de sécurité, de l’autre, elle achèterait à tour de bras des informations sur des vulnérabilités inédites.
Si d’un côté, l’administration Obama prône les échanges public-privé et la communication sur les incidents de sécurité, de l’autre, elle achèterait à tour de bras des informations sur des vulnérabilités inédites.
C’est en tout cas que ce qu’ évoque Reuters, assurant que «les agences américaines du renseignement et de l’armée n’achètent pas en priorité des outils de sécurité pour contrer des attaques, mais [...] pour infiltrer des réseaux informatiques à l’étranger, laissant derrière elles des logiciels espions et des cyber-armes qui peuvent endommager données et systèmes ».
Interrogé sur le sujet par nos confrères, un porte-parole la NSA s’est refusé à tout commentaire, se retranchant derrière la «sensibilité» de la question. Cité par Reuters, Charlie Miller, spécialiste de la sécurité d’iOS et ancien de la NSA, confirme à demi-mots, indiquant que «les seuls qui paient [pour des informations sur des vulnérabilités] sont du côté offensif ». En privé, des cadres de l’industrie auraient évoqué un marché de plusieurs dizaines de millions de dollars. Une illustration vient immédiatement à l’esprit : le supposé programme « Jeux Olympiques» dont serait notamment issu Stuxnet.
Mais pour Richard Clarke, ancien conseiller de la Maison Blanche à la cybersécurité, cet investissement en faveur de l’offensive pose question : pour lui, le rôle du gouvernement américain devrait être avant tout de protéger les citoyens en les informant de vulnérabilités lors de leur découverte.
Interrogé par nos confrères, Chaouki Bekrar, directeur général du français Vupen, explique que «nos coûts de recherche n’ont cessé de croître et nous avons renoncé à partager volontairement des informations avec des entreprises à plusieurs milliards de dollars ». Dès lors, selon lui, lorsqu’un éditeur refuse de payer, Vupen vend la vulnérabilité à des gouvernements. Et de justifier sa démarche en estimant que «les exploits sont utilisés dans le cadre de missions d’interception légales et d’opérations de sécurité intérieure autorisées par la loi pour protéger des vies et les démocraties contre les menaces du monde informatique et du monde physique ».