Est-il défendable d’un point de vue éthique de vendre des vulnérabilité jour zéro ?

  • novembre 11, 2014
  • 7 min read

Les failles jour zéro sont des vulnérabilités dans des applications que personne ne connaît jusqu’à ce qu’il soit trop tard. Ce sont des failles comme Heartbleed, Shellshock ou la plus récente nommée POODLE qui permettent aux pirates informatiques et aux agresseurs d’exécuter du code malicieux sur des ordinateurs qui ne sont pas les leurs. Ce sont également des failles telles que Sandworm et Operation Snowman : qui permettent d’infecter des points d’entrée des logiciels d’utilisateurs de votre PC, qui été auparavant inconnus, via de nouveaux moyens souvent non protégés.

Les failles jour zéro sont dangereuses étant donné que les utilisateurs ont littéralement « zéro jours » pour installer un correctif une fois connues. Dès qu’une faille jour zéro a été annoncée, vous pouvez être sûr que des criminels s’en servent déjà sur Internet. C’est pourquoi, le plus grand souci dans le monde de la recherche des failles jour zéro n’est jamais quand elle est découverte, – vu que les bogues sont toujours découverts, mais, ce qui est plus important, c’est comment elles sont découvertes.

Comment les failles jour zéro sont elles-découvertes

La recherche des failles jour zéro est importante et implique beaucoup d’argent.

icon_search_50x50D’un côté, il y a les chercheurs internes, employés par des entreprises travaillant dans les logiciels, qui cherchent activement des failles de sécurité dans les produits de l’entreprise pour que celle-ci ait une longueur d’avance sur les agresseurs. Si jamais une faille jour zéro est découverte, le logiciel reçoit « quelques mises à jour », et le produit est plus ou moins secrètement entretenu, sans qu’il y ait d’annonces de sécurité inquiétantes pour les utilisateurs.

C’est par exemple, ce qui passe le deuxième mardi de « correctifs » de chaque mois pour les PCs munis de Windows. De tels correctifs ne sont pas du tout parfaits, comme il y a toujours une courte période de temps entre la publication et la mise à jour automatique dont les agresseurs peuvent bénéficier, mais ces « bonnes » failles jour zéro rendent une mauvaise situation un peu meilleure.

icon_target_50x50D’un autre côté, tout semble beaucoup moins bon. Là, vous trouvez les pirates informatiques financièrement motivés qui découvrent de nouvelles vulnérabilités tout seuls.

Ils n’ont pas de liens avec l’entreprise ou les utilisateurs affectés par leurs découvertes, et tout ce qui les intéresse, c’est de se faire autant d’argent que possible, sans aucun égard pour les autres (ou la loi). Dans ce scénario, il est préférable de se taire et de s’appuyer sur cette faille jour zéro en silence pour une nouvelle campagne servant à distribuer des malwares. Ainsi, un maître de bots est à même d’infecter des milliers de nouvelles victimes en quelques jours. Cette faille jour zéro finira bien sûr par être découverte par un administrateur de système et sera finalement annoncée et corrigée – mais tout cela prend évidemment du temps.

icon_warning_50x50Entre ces deux extrêmes, tout peut devenir intéressant. Parfois, les gentils ne sont pas des employés officiels – parfois, ce sont des chercheurs indépendants à la recherche de récompenses pour trouver des bogues qui, lorsque ce sont de grandes entreprises telles que Facebook et Microsoft, peuvent atteindre les 150.000$.

Parfois, ces chercheurs reçoivent leurs récompenses, avec leurs 15 minutes de gloire, et parfois non. Dans ce dernier scénario, tout peut glisser vers la zone grise, comme des chercheurs ignorés qui choisissent parfois de rendre leurs découvertes publiques sans avoir l’approbation de l’entreprise concernée.

Dans de telles situations, l’entreprise est d’habitude forcée à agir – mais, la question si les utilisateurs avaient été plus à l’abri, si personne n’en avait su, fait l’objet de débats ardents. Vous ne pouvez pas savoir ce que vous ne savez pas, et pour ce qui est des failles jour zéro, cela veut dire qu’il est toujours possible que quelqu’un d’autre ayant de mauvaises intentions l’a également découverte. Pour ce qui est de la surveillance, ce « méchant » pourrait même faire partie du gouvernement ; en fait, dans les derniers mois, il y en a qui suggèrent que la NSA était au courant de Heartbleed.

Les failles jour zéro, emparez-vous des vôtres !

Qui d’autre découvre donc les failles jour zéro ? Alors, une meilleure question à vous poser serait peut-être : qu’est-ce qui ce passe lorsque les failles jour zéro se transforment en marchandises ? Qu’est-ce qui se passe lorsque quelques entrepreneurs finissent par se rendre compte que les situations expliquées plus haut sont beaucoup plus qu’une collection de moyens pour découvrir et annoncer des failles dans des logiciels ? Lorsqu’ils se rendent compte, avec délices, que ce sont des situations réelles, pleines de demandes économiques inaccomplies ?

icon_globe_50x50

Entrez dans le monde de la recherche des failles jour zéro à but lucratif. Ici, les vulnérabilités s’achètent et se vendent au plus offrant.

Ici, les vulnérabilités ne sont pas seulement analysées de façon incidente par des fanatiques de la sécurité qui espèrent rendre le monde des logiciels plus sûr tout en faisant quelques sous à côté. Ici, on cherche les failles jour zéro de façon aggressive – et lorsqu’elles sont découvertes, on s’appuie sur le danger d’une annonce publique en tant que mécanisme de vente très efficace.

Comment cela fonctionne-t-il ?

icon_config_50x50Une personne vous approche et vous raconte qu’elle a découvert un moyen secret pour exploiter votre produit qui permettrait à d’autres personnes de s’emparer d’argent et d’informations, les votres et celles de vos clients.

Elle vous dit que vous pouvez accéder à ces informations secrètes, mais cela à un certain prix. Vous vous inquiétez, mais ensuite pensez : devrais-je prendre cette personne au sérieux ? Puis, vous pensez lui claquer la porte au nez. Enfin, vous venez à conclure : mais si ce qu’elle dit est vrai, qu’est-ce qui lui empêcherait de vendre ces informations dites secrètes à d’autres personnes ?

D’un point de vue juridique, rien ne le lui empêcherait. La recherche dans les failles jour zéro à but lucratif et même le commerce avec elles sont tout à fait légaux. Car, connaître une faille jour zéro n’est pas la même chose que l‘exploiter. Il n’est pas illégal de savoir qu’il y a une faille, et de savoir que cette faille peut permettre aux entreprises concernées d’éviter des désastres en matière de sécurité. Le problème ? Ce savoir n’est pas toujours vendu aux entreprises concernées. On le vend à tous ceux disposés à payer, et ceci à la discrétion de celui qui le vend.

icon_dollar_50x50Parfois, on le vend aux compétiteurs. D’autres fois, ce sont des gouvernements. Les prix vont dans des montants de cinq à sept chiffres, et beaucoup des clients majeurs paient en fait des abonnements présentés dans un catalogue qui leur permettent d’avoir accès à des centaines de vulnérabilités par an.

Les plus petites entreprises travaillant dans les logiciels, ne sont d’habitude pas capables de se permettre ces achats. Cela veut très souvent dire que les chercheurs indépendants ne s’embêtent pas à trouver des failles dans les produits de plus petites entreprises, même si ceux-ci sont bons et sont utilisés par de nombreuses personnes. Cela peut également dire que les chercheurs peuvent gagner beaucoup plus en vendant le savoir de failles jour zéro trouvées dans les produits de plus petites entreprises aux compétiteurs majeurs de celles-ci sans jamais en faire part à celles-ci ou à leurs utilisateurs.

Il suffit de lancer une recherche simple sur Google pour trouver les entreprises qui trouvent et vendent ces failles. Elles sont nombreuses, et lorsque vous lancez une recherche, vous trouverez, parmi les résultats, de-ci de-là, quelques articles parlant de l’éthique de cette pratique.

Connaître des failles jour zéro est bel et bien fondamentalement différent que de les exploiter – mais la question, si on devrait vendre le savoir pour les empêcher reste sans réponse. Dans une économie de marché libre où on vend des failles, la seule chose empêchant une entreprise de recherche ou un fournisseur de vendre une faille jour zéro à des criminels ou des gouvernements répressifs est la mauvaise conscience de cette entreprise ou de cette personne. Nombreux sont ceux qui trouvent cette barrière beaucoup trop subjective et trop facile à écarter vu les énormes sommes d’argent offertes. Nombreux sont également ceux qui s’inquiètent du fait que les vendeurs de failles jour zéro ont juré de garder les listes de leurs clients secrètes.

icon_bug_50x50Pour les utilisateurs affectés par ces bogues dans les produits dont ils se servent pour gérer leur travail et leur vie, il faut trouver une réponse à la question si les effets de la recherche dans les failles jour zéro sont plutôt positifs ou négatifs.

Fondamentalement : Les logiciels sont-ils plus sûrs dans un monde dans lequel la recherche des failles jour zéro est privatisée ? Ou le commerce de vulnérabilités n’est-il rien d’autre que des malwares light ?

Comme d’habitude, nous aimerions avoir votre avis.

Bonne navigation (sans menace jour zéro) à vous !

Emsi

What to read next

Reader Comments