Sécurité IT : une économie de marché autour du zero-day

CyberDéfenseRisquesSécurité
zero-day-economie

Une équipe d’experts et d’universitaires s’est penchée sur la perception et l’exploitation des failles zero-day par les chercheurs, les Etats… et les cybercriminels.

Les failles zero-day, ces vulnérabilités inconnues du public et surtout non corrigées dans les logiciels, sont le Saint Graal du hacking. C’est l’un des principaux enseignements à tirer d’une présentation effectuée dans le cadre de la RSA Conference par plusieurs experts et universitaires.

Katie Moussouris (de la société HackerOne, qui organise des programmes de recherche de failles), le Dr Michael Siegel et James Houghton du MIT, ainsi que le Dr Ryan Ellis de Harvard se sont penchés sur l’intérêt que les éditeurs, les États et – bien évidemment – les cybercriminels portent au zero-day.

Ventes, récompenses, investissements dans la R&D : une véritable économie de marché est née autour de ces failles. Mais le prix des vulnérabilités ne dépend pas seulement de l’offre et de la demande.

Au-delà des primes promises lors des Bug Bountys, l’attention des hackers se porte effectivement plutôt sur les perspectives ouvertes par la communication autour de leurs découvertes.

Illustration avec le programme mis en oeuvre par Microsoft pour le lancement de la préversion d’Internet Explorer 11 : le premier éditeur mondial a versé 28 000 dollars de primes, mais il a surtout mis en avant plusieurs contributeurs qui auraient certes pu gagner plus d’argent en revendant des failles sur le marché gris… avec toutefois l’inconvénient de rester dans l’ombre.

Autre bénéfice des Bug Bountys : assécher, dans certains cas, les échanges de vulnérabilités non corrigées quand elles sont rares sur les marchés souterrains. Dans ce registre, on peut évoquer les différents projets d’éditeurs comme Google avec Project Zero ou de sociétés comme Vupen – qui vend des vulnérabilités aux plus offrants parmi les nations membres de l’Otan.

Les limites du système

Ce système induit néanmoins des fragilités. Témoin les propos de Dan Geer. Lors de la dernière session Black Hat de Las Vegas, le RSSI du fonds d’investissement In-Q-Tel (créé et géré par la CIA), avait déclaré que le gouvernement U.S. devait, pour accaparer le marché des vulnérabilités, proposer des prix à 6 chiffres.

Cette approche risque de déséquilibrer le marché : les hackers pourraient ne cibler que les plates-formes récentes, moins matures en matière de sécurité, plutôt que de travailler sur des solutions plus anciennes et donc plus stables. Le défi consiste à trouver un juste équilibre pour inciter les chercheurs à trouver et à diffuser leurs découvertes.

Autre point souligné par les équipes de Katie Moussouris : la nécessité de travailler sur l’automatisation de la recherche de failles. Ce avec des outils ad hoc, plutôt que de laisser se constituer un stock de failles zero day sur les marchés souterrains. C’est d’autant plus vrai que la stratégie des éditeurs est d’accélérer la mise sur le marché de leurs produits (par exemple Windows 10)… ce qui les rend plus fragiles.

Pour Silicon.fr, il ne faut pas sous-estimer ce marché souterrain. Et encore moins le darkweb. Depuis quelques mois, une place de marché nommée TheRealDeal commence à faire parler d’elle.

Accessible via le réseau Tor, elle propose de la drogue, des identifiants bancaires, mais aussi une boutique de failles « rares et exclusives ». On y trouve un zero-day pour iCloud qui se monnaye pour l’équivalent de 17 000 dollars. WordPress, Android, Windows et Internet Explorer figurent aussi sur la liste des cibles privilégiées.

Crédit photo : Mclek – Shutterstock.com

Lire aussi :