Failles : un marché noir dopé par l’implication des gouvernements
Un article du New York Times alerte sur la droissance ultra-rapide du marché des vulnérabilité où le couts des failles zero-day peut atteindre 160 000$ . Un marché souterrain galvanisé par la présence de gouvernements
Le marché noir des failles de sécurité dites «zero-day» trouant les logiciels commerciaux du marché est désormais si enraciné que le prix d’une vulnérabilité peut aujourd’hui atteindre 160 000 dollars, ont révélé nos confrères du New York Times.
L’un des fournisseurs, cité dans l’article, fait ainsi payer à ses clients un abonnement annuel de 100 000 $, auquel s’ajoutent des frais additionnels lors de la vente, poursuit encore le quotidien américain, un brin alarmiste. Les coûts dépendent de la sophistication de la vulnérabilité et de la portée du système d’exploitation ou de l’application commerciale visés.
Pour contrer ce problème grandissant, raconte le NYT, certains spécialistes du secteur IT ont mis en place des programmes de «bug bounty», qui récompensent les découvertes de failles. Le mois dernier, par exemple, Microsoft a finalement pris la décision de s’aligner sur Google, Paypal, Facebook ou encore la Mozilla Foundation, offrant des sommes d’argent aux personnes ayant mis le doigt sur une faille critique. Tentant d’éviter à tout prix que celle-ci ne se retrouve sur le marché noir. Et mise en vente.
Des acheteurs de failles de plus en plus instutionnels
Microsoft, qui avait décidé de tourner le dos au concept de «Bug Bounty», revient avec une récompense de 100 000$ pour tout exploit technique visant les mesures de protection de son dernier OS, Windows 8. Google, dont la récompense s’est récemment élevée à 20 000$, et Facebook qui a payé jusqu’à 20 000 $ pour un unique bug, devrait certainement repenser leur programme afin que ceux-ci restent suffisamment efficaces. En clair, ré-évaluer le montant de leur récompense.
Mais et c’est un des points les plus alarmants soulevé par le NYT, ce marché noir serait alors tiré par le haut par les gouvernements, de plus en plus impliqués dans ce marché souterrain, soucieux d’avoir une longueur d’avance sur leurs rivaux.
Parmi les plus gros acheteurs de failles, explique le quotidien américain, on retrouve les Etats-Unis, le Royaume-Uni, l’Israel, la Russie, l’Inde, le Brésil, la Corée du Nord, la Malaisie et Singapour.
Cela est particulièrement alarmant, d’autant que certains de ces fournisseurs de vulnérabilité, installés sur ce marché noir, se spécialisent sur des failles localisées dans les systèmes de contrôle industriels, permettant ainsi d’accéder ou encore de semer la pagaille dans les services publics nationaux, comme le réseau électrique ou encore celui de l’eau.
La croissance ultra-rapide de ce marché des failles constitue un défi très sérieux avec lequel les éditeurs de logiciels doivent aujourd’hui composer. Cela met également en avant l’importance qu’a pris aujourd’hui l’ensemble de la chaîne et des procédures liées à la sécurité.
Jeremiah Grossman, fondateur et CTO de la société spécialisée dans les outils de sécurité, WhiteHat Security, soulève également une dérive : les gains élevés du marché noir poussent les développeurs mal intentionnés à insérer des bugs dans les logiciels.
La chaîne logistique liée à la sécurité est devenue une priorité depuis que les cyber-attaquants se sont mis à infiltrer les entreprises peu sécurisées. Pour répondre à cette problématique, le ministère de la Défense britannique, par exemple, s’est associé à 9 spécialistes de défense et fournisseurs télécoms pour mettre en place le Defence Cyber Protection Partnership (DCPP).
Ce projet s’inscrit ainsi dans un vaste programme du gouvernement portant sur la cyber-sécurité. Le gouvernement a ainsi fait de la cybermenace l’une des priorités de la Défense du pays en 2010. Ce partenariat porte sur le déploiement de systèmes de contrôle et de partage des menaces afin d’augmenter la sécurité de toute la chaîne de valeur.
Traduit et adapté de l’anglais par la rédaction