lun. Août 26th, 2019
quarkslab - Fred Raynal

Les vulnérabilités : une économie et un écosystème à part entière

Une exclusivité cyberexperts.tech

Par Fred Raynal, CEO de Quarkslab

Les conséquences induites par les failles de sécurité dans les software et hardware ont conduit à la structuration d’un écosystème et d’une économie. Brokers, bug bounties, Etats, éditeurs de logiciels et constructeurs de matériels se sont, au fil du temps, positionnés sur le marché. La vulnérabilité est devenue une économie à part entière.

Personne n’est à l’abri d’une cyber attaque. Tous les systèmes d’exploitations, logiciels ou hardware, présentent des failles de sécurité. Si ces vulnérabilités font la joie des pirates, elles ont des conséquences plus ou moins désastreuses sur le  business et/ou l’image des producteurs de software et hardware. Face à de tels enjeux, tout un écosystème et une économie de la vulnérabilité se structure devenant un marché mondial à part entière.

Les brokers achètent et revendent les vulnérabilités aux plus offrants

Présents depuis une dizaine d’années, les brokers commercialisent les trouvailles des chercheurs de vulnérabilités aux plus offrants, souvent des entités étatiques. Chaque broker à ses spécificités. Pour ZDI et beyondsecurity, les prix d’achats des vulnérabilités ne sont pas officiels. En revanche, d’autres brokers affichent clairement la couleur. C’est le cas de Zerodium, un des acteurs majeurs de ce marché qui, en 2017, a proposé 500 000 dollars pour un 0-day dans iOS9, 1,5 million de dollars pour des découvertes de failles sur iOS 10 d’Apple ou encore un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal.

Si certains brokers sont transparents sur l’identité de leurs clients, d’autres sont bien plus obscures. A qui vendent-ils les vulnérabilités découvertes par leurs réseaux de chercheurs ? Pour tenter de réguler (ou contrôler) les activités lucratives de ces entreprises, l’accord de Wassenaar signé par 41 États sur les biens à double usage a été étendu en 2016 au « cyber » : chiffrement, logiciels de surveillance, exploits et failles 0-day. Toutefois aujourd’hui certains régulateurs et acteurs du secteur s’opposent sur cet accord.

Les Bug Bounties cherchent les vulnérabilités pour le compte des éditeurs et des Etats

Popularisés il y a environ cinq ans sous l’impulsion de grands éditeurs, les Bug Bounties sont des entreprises qui proposent des primes (bounty) au nom des éditeurs (leurs clients) à la communauté, composée de hunters ou chercheurs de failles. Leurs missions : trouver des vulnérabilités dans les produits avant qu’elles ne soient exploitées par de vrais pirates et connues du grand public. En contre partie ils reçoivent une prime dont le prix est fixé par les éditeurs et tarifé à hauteur du préjudice estimé de la vulnérabilité. La plateforme de Bug Bounty joue donc le rôle d’interface entre l’éditeur et le chasseur qui a découvert la vulnérabilité, préservant ainsi son identité et le protégeant d’éventuelles poursuites.

HackerOne, Yogosha, YesWeHack, Integrity ZeroCopter, etc sont autant de Bug Bounty utilisés par les éditeurs et constructeurs pour identifier leurs failles de sécurité.

Chez les grands éditeurs et constructeurs de telles plateformes viennent compléter d’autres stratégies de cybersécurité déployées de type audits de sécurité, tests d’intusion ou, en amont le design et l’architecture destinés à éliminer des classes de vulnérabilités ou à en bloquer l’exploitation. En revanche, pour certaines startup ou PME ces plateformes sont parfois les seuls outils de tests, n’ayant pas les moyens financiers des grands groupes pour mettre en œuvre une sécurité multiforme et contraintes de déployer rapidement leurs produits. Une démarche insuffisante au regard de l’explosion des cyberattaques.

Les Etats matures en vulnérabilité investissent le marché

À des fins de surveillance ou de lutte contre le terrorisme, certains gouvernements, matures, déploient des stratégies offensives en matière de recherche de vulnérabilités. Souvenons-nous de Shadow Brokers, un groupe de pirates qui, en 2017 dévoilaient Eternalblue, un exploit développé par la NSA et utilisé dans le ransomware WannaCry, dans la cyberattaque de NotPetya ou encore dans le cheval de Troie bancaire Retefe.

En France, sans être offensives ces stratégies de vulnérabilité investissent peu à peu l’État. C’est ainsi que dans le cadre de l’article 47 de la Loi pour la république numérique du 7octobre 2016 (https://www.legifrance.gouv.fr/eli/loi/2016/10/7/2016-1321/jo/article_47), le gouvernement souligne l’importance de la détection des vulnérabilités en garantissant la protection des chercheurs de bug signalant des vulnérabilités à l’ANSSI (Agence nationale pour la sécurité des systèmes d’information.

La vulnérabilité est aussi une préoccupation de la Commission européenne. C’est ainsi qu’elle vient de publier un rapport sur l’économie des vulnérabilités (https://www.enisa.europa.eu/news/enisa-news/the-economics-of-vulnerability-disclosure) et qu’elle soutient les projets de recherche de bug liés aux logiciels libres utilisés par l’UE.

Les éditeurs corrigent les failles ou érigent des protections

Toutes les vulnérabilités n’ont pas les mêmes conséquences. Certaines donnent accès à des données critiques, perturbent le fonctionnement d’une application, ou provoquent un déni de service. Face à ces failles, les éditeurs peuvent adopter plusieurs stratégies : pour les vulnérabilités les plus critiques et faciles d’accès, ils développent des correctifs, pour celles difficilement accessibles, ils dressent des solutions de protection : filtrage, pare-feu, contrôles d’accès, etc. Pour répondre à ces nouveaux besoins, les éditeurs créent en interne des red teams et des blues teams, pour tester leurs propres produits ou leurs composants externes. Ils prennent en compte le design, les choix technologiques mais aussi la formation des développeurs et se reposent sur les bug bounties pour ausculter en permanence leurs produits. Ainsi au cours des quinze dernières années Microsoft ou Apple ont opérée de vraies transformations en matière de stratégie de vulnérabilités. Citons aussi le projet de Google, Google Project Zero, dont l’objectif est de confier la recherche de vulnérabilités à des chercheurs internes à l’entreprise tout en incitant les éditeurs à corriger les failles.

Aujourd’hui la vulnérabilité n’est plus aux seules mains de personnes mal intentionnées. Elle est devenue une économie à part entière dirigée par tous ces acteurs, par des méthodologies, des business models et des lois. Une économie en plain devenir. 

%d blogueurs aiment cette page :