Pour un indépendant, détecter des failles est sûrement l‘activité la plus rémunératrice dans le monde de l’informatique actuellement. La raison ? Une seule vulnérabilité donne la possibilité d’obtenir un pactole d’un million d’euros, promesse émise par Zerodium, revendeur de faille « zéro day », à ceux qui trouvent un bug dans le système d’exploitation iOS9 d’Apple.
Qu’est-ce qu’une faille « Zéro day » au juste ?
Il s’agit d’une faille dont l’existence n’est pas encore connue, même par le fabricant. Ce qui lui permet d’être exploité librement, jusqu’à sa découverte. L’attaque menée au cours de cette période reçoit l’appellation « attaque zéro day » et ne pourra quasiment pas être contournée par tous les moyens.
Le prix des failles « Zéro day » est lié à leur rareté. Seules 18 attaques exploitant des failles zéro day ont pu, par exemple, être trouvées par deux chercheurs de Symantec entre 2008 et 2011 et suite aux collectes de données de 11 millions d’utilisateurs.
Un marché gris ayant les États parmi ses acteurs
Zerodium, l’entreprise à la source de cette promesse, est l’un des acteurs de ce marché. Ce n’est pas surprenant de la part d’un spécialiste en sécurité informatique. Mais pourquoi ce marché « gris » attire-t-il incessamment de nouveaux acteurs ? Car les clients sont disposés à émettre un maximum de proposition. Certains d’entre eux sont en effet des États souhaitant mieux réussir dans leurs activités de surveillance et d’espionnage. La Russie, les États-Unis et la Chine se trouvent, sans conteste, dans la liste des gros acheteurs.
Et également des criminels
La clientèle n’est pas constituée seulement de gouvernements. On y trouve également des criminels, constitués pourtant souvent de personnes souhaitant attaquer le système informatique des pays-clients. Zerodium et ses concurrents se trouvent donc dans un cercle vicieux pouvant exploser à tout moment. Mais ces gouvernements ne s’exercent-ils pas déjà en tant que criminels en rachetant des failles découvertes par des pirates informatiques auprès des entreprises se disant du côté de la sécurité informatique ?
De bons samaritains comme rivaux
Bien que conscient du gain qu’ils peuvent réaliser avec de nouvelles failles, certains spécialistes en cybersécurité préfèrent avertir le concepteur du logiciel après la découverte d’un bug. Tel est le cas de Charlie Miller et Chris Valasek, ayant à leur actif, pour cette année 2015, la découverte de plusieurs failles « zero day » sur une Jeep.Ils sont récemment parvenus à couper le moteur du véhicule en exploitant ces vulnérabilités, mais n’ont rien révélé qu’après publication de correctif par le fabricant.
Et aussi « les Bounty Programs »
Étant les principales victimes en cas d’attaques touchant leurs produits, les fournisseurs de logiciels sont de plus en plus nombreux à proposer des « Bounty programs » ou des programmes de récompenses à tous ceux qui leur relèvent discrètement des bugs sérieux et vérifiés. Facebook n’a jamais caché qu’il fait partie des adeptes de ce programme. Il a même révélé, il y a un an, qu’il a déboursé des millions de dollars pour payer des pirates qui lui ont signalé des failles.