Fermer le menu
 

L'incroyable business des failles de sécurité

Christophe Laporte | | 12:14 |  40

La sécurité n'est pas un marché comme les autres. Chaque année, début mars, se réunissent à Vancouver des personnes du monde entier qui montrent et exploitent les failles des principaux navigateurs. Pour chaque faille exploitée, les participants repartent en moyenne avec 10 000 $. Mais Pwn2Own, c'est en quelque sorte les Jeux olympiques de cette industrie. De la gloire, mais peu d’argent ! Car avec une faille de sécurité, il est possible de gagner beaucoup plus d'argent....

Une faille relative à Mac OS X se négocie entre 20 000 et 50 000 $, une relative à Windows entre 60 000 et 120 000 $ tandis qu'une faille pour Firefox ou Safari peut se vendre entre 60 000 et 150 000 $. Mais le top du top, c'est de trouver une faille pour iOS. Vous pouvez alors empocher entre 100 000 $ et 250 000 $.

Forbes explique qu'il existe un véritable marché gris de la faille de la sécurité. Il existe des courtiers qui se chargent de vendre les failles en question. Leurs clients ? Principalement, les autorités européennes et américaines.

Grugq, qui se prête à ce petit jeu depuis plus de dix ans, explique que ce sont les Européens et les Américains qui paient le mieux. Son métier, affirme-t-il, est similaire à celui d'un éditeur de logiciels. Il doit vendre une faille comme si c'était un produit fini avec une documentation abondante. "La seule différence, c'est que vous ne vendez qu'une seule licence et que tout le monde vous appelle le diable".

L'homme né en Afrique du Sud explique que certains clients sont meilleurs que d'autres. Il n'aime ni les Chinois ni les Russes, qui ne paient pas assez. Il y a en Chine beaucoup de hackers qui travaillent pour les autorités, ce qui fait que les prix ne sont pas élevés. D'autre part, il semble que travailler avec les Russes ne soit pas une affaire de tout repos. Et c'est apparemment la meilleure façon de rendre une faille publique.

Il s'agit en tout cas d'un business très rentable. Rien que pour le mois de décembre, il a empoché 250 000 $ avec ses acheteurs gouvernementaux. Grugq affirme prendre une commission de 15 % par vente et déclare ne pas vendre une faille moins de 50 000 $. Cette année, son objectif est de passer le million de dollars.


Grugq / Image : gohsuket

Bien entendu, ce type de commerce est loin de faire l'unanimité. Chris Soghoian, activiste de l'Open Society Foundations, décrit cette activité comme "les marchands modernes de morts" qui vendent "les balles de la cyberguerre". "Dès que l'une de ces armes vendues à un gouvernement finira dans les mains de quelqu'un de malintentionné et sera utilisée pour attaquer des infrastructures américaines de la plus haute importance, c'est là que les ennuis vont vraiment commencer", affirme-t-il en substance. Et de qualifier ces courtiers de "cow-boys" qui vont selon lui plonger dans l'obscurité l'ensemble de l'industrie de la sécurité.

D’après Adriel Desautels, fondateur de Netragard qui vend également des failles de sécurité aux plus offrants, ce marché est en plein boom depuis un an. Il y a selon lui de plus en plus d'acheteurs avec de plus en plus de moyens. Auparavant, une faille était vendue en quelques mois. Désormais, c'est une question de semaines, voire de jours.

Il explique que toutes les failles vendues ne sont pas forcément exploitées. Adriel Desautels évoque que l'un de ses clients du secteur privé en a récemment acheté une à des fins marketing pour s'en servir comme preuve de concept. La personne en question a quand même déboursé 125 000 $.

Et l'éthique dans tout cela ? Adriel Desautels explique ne pas vendre ses failles à n'importe qui et est extrêmement sélectif : "nous refusons plus de personnes que nous en acceptons. Soyons francs, nous vendons des cyber-armes".

Une chose est également certaine, ces sociétés sont prêtes à travailler avec beaucoup de monde, sauf les principaux intéressés. Les prix pratiqués sont sans commune mesure avec les tarifs affichés par les éditeurs lorsqu'on leur soumet une faille de sécurité. Google, le plus généreux en la matière, paie jusqu'à 3133,70 $, pour un bogue. La fondation Mozilla et Facebook ont également des programmes similaires…

Si certains comme Grugq sont éventuellement prêts à discuter si une société comme Google s'aligne sur les prix du marché, d'autres ne veulent rien entendre. C'est le cas des Français de Vupen Security. Le grand vainqueur de l'édition 2012 de Pwn2Own, qui affirme que pas même pour un million de dollars, il vendrait quoi que ce soit à Google. Ce serait tuer son business en quelque sorte. "Nous ne voulons pas partager avec eux notre savoir-faire qui pourrait les aider à corriger une faille ou d'autres similaires. Nous voulons garder cela pour nos clients".


L'équipe de Vupen Security à Pwen2Own 2012 / Image : Dan Godin (Ars Technica)

Vupen développe des techniques permettant de trouver "des failles à la chaine" et par conséquent de vendre chacune d'elles très cher. On comprend mieux dès lors pourquoi la société ne souhaite pas communiquer son savoir-faire à Google.

Catégorie : 
Tags : 

Les derniers dossiers

40 Commentaires

avatar momo-fr 26/03/2012 - 12:52

Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?

avatar kazede 26/03/2012 - 12:57

"une relative à Windows entre 60 000 et 12 000 $" 60 000 et 120 000 non ?

avatar Christophe Laporte macG 26/03/2012 - 12:58

oops. corrigé merci

avatar Kurby'S 26/03/2012 - 13:02

@cl97 :
je l'avais signalé via votre fourmulaire.

avatar Kurby'S 26/03/2012 - 13:03

*formulaire.

avatar iTroll 26/03/2012 - 13:16

J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares...

avatar Mr.20 26/03/2012 - 13:17

@ Kurby'S bravo ! Vous voulez un bon point ? :P

avatar ziggyspider 26/03/2012 - 13:17

[quote]momo-fr [26/03/2012 12:52] Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille.[/quote]
C'est plutôt tout faire pour qu'elles ne soient pas comblé …

avatar Axel 26/03/2012 - 13:17

Moins d'ordis à la clé... Tout simplement.

avatar liocec 26/03/2012 - 13:17

@momo-fr :
'Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?'

En effet, traitons le pb à l'origine...éradiquons les dev... Non je rigole, c'est de l'humour !

avatar Kurby'S 26/03/2012 - 13:19

@Mr.20 :
Préfère une image si ça dérange pas...

avatar Mabeille 26/03/2012 - 13:21

@momo-fr non les failles existent parce que les logicielles existent.

avatar noooty 26/03/2012 - 13:28

@iTroll :
les failles d'osx sont très mineures...

avatar Marc-Alouettes 26/03/2012 - 13:38

On voit qu'Apple paye jusqu'à 250 000 $ pour une faille iOS. Cela a vraiment l'air essentiel pour elle.
(Mais aussi pour nous si le paiement par tel devient effectif)

avatar rom54 26/03/2012 - 13:56

Très bon article, encore une fois.

[quote=iTroll 26/03/2012 13:16]

J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares...
[/quote]

Le prix d'une faille est lie a son potentiel.
Sur OS X la majorité des failles ont, comme pour la majorité des Unix, un impact limite. Ensuite vient la possibilité d'exploiter la faille dans le cadre d'un réseau, et la le Mac a pour force la faiblesse de son nombre...

Mais la on parle de prix publics, car il y a des failles bien plus valorisables que d'autres. Les failles les plus intéressantes se trouvent dans les microcodes, les bootloader, les drivers, bref tous ce qui se trouve a un niveau en dessous du système et bien évidement des applications.

Bien sur les cybercriminels vont exploiter les failles des applications pour détourner des fonds, voler des codes et des informations, faire du chantage, corrompre des bases de données... Ce sont les voleurs a la tire ou les petits malfrats du cybercrime.

Vienent apres les attaques visant a détruire le fonctionnement d'une société ou d'une institution, souvent par les celebres attaques DDoS, et la il est très interressant de pouvoir corrompre les serveurs mais aussi les firewall hardware et les swicth...

Puis ensuite on passe au niveau militaire. La, on trouve de l'espionnage jusqu'à l'immobilisation ou la destruction des moyens de communications.

Si les failles "commerciales" les mieux valorisées sont celles d'iOS, c'est parce que c'est un OS populaire, généraliste, qui est utilisé par des personnes non spécialistes et qu'elles y mettent beaucoup de leurs informations personnelles...

On pourrait se dire pourquoi pas Android, vu sa représentation?
En fait Android est très fragmenté, une faille a plus de mal a toucher une grosse base. De plus Android a une réputation suspecte, donc l'utilisateur fait plus attention...

Il manque dans ce tableau l'indication de l'eldorado: les réseaux sociaux...

Ceci dit on parle ici de commerce et a ce qui s'y limite.

avatar aleios 26/03/2012 - 14:01

@Marc-Alouettes: Vous n'avez pas bien lu, ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes, ce sont "les autorités européennes et américaines" autrement dit les gouvernements qui pour des raisons de sécurité et de surveillance (pour ne pas dire d'espionnage) qui le font.
Article fort intéressant en tout cas.

avatar kaos 26/03/2012 - 14:25

Vu le nombre de failles dans window , chaque sortie de nouvelles versions doit faire des millionnaires.

avatar Anonyme (non vérifié) 26/03/2012 - 14:52

[quote]On pourrait se dire pourquoi pas Android, vu sa représentation?
En fait Android est très fragmenté, une faille a plus de mal a toucher une grosse base. De plus Android a une réputation suspecte, donc l'utilisateur fait plus attention...[/quote]
Tu aurais quelque chose pour étayer tes propos ? Parce que le coup de l'utilisateur qui fait plus attention sous Android, pour le moment ça me fait doucement rigoler.

avatar Marc-Alouettes 26/03/2012 - 14:57

@aleios : "ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes"

Soit, mais je présume que ces failles doivent être revendues à qui de droit pour qu'il y soit remédié, non ?

avatar rick75 26/03/2012 - 15:01

Le boulot de developpeur de grosse boite n'a jamais été aussi cool :

- J'optimise pas mon code, je compte sur l'évolution matérielle
- J'optimise pas la finalité de mon travail, je compte sur les mises à jour,
- J'optimise pas la sécurité, je compte sur des geeks qui n'ont que cela à faire de leur temps libre.

avatar béber1 26/03/2012 - 15:02

sunjohn
à moins qu'il ne sous-entende que les utilisateurs Android soient à majorité des geeks et des nerds farouchement attachés au respect de leurs vies privées

avatar Frodor 26/03/2012 - 16:11

Merci MacGe pour cet article ! J'aime bien ce genre d'article, c'est très intéressant et ça colle beaucoup avec l'acutalité et la situation information actuelle. ;).

avatar joneskind 26/03/2012 - 17:03

@Marc-Alouettes :

Ben non. C'est des méchants qui exploitent ces failles et qui n'ont aucun intérêt à ce qu'elles soient bouchées. Donc personne, surtout, ne révèle ses failles aux constructeurs. Donc c'est pas Apple qui paye...

avatar lmouillart 26/03/2012 - 17:30

@rom54
Une faille critique sous un OS quel qu'il soit permet souvent de faire beaucoup de dégâts que ce soit du Windows, Unix, où autre, surtout lorsqu'elles sont ajoutés. Exemple failles classiques de Flash, PDF, ... qui donnent un accès local et ensuite faille sur d'autres outils, bouts de noyau qui permettent des accès root.

avatar Un Vrai Type 26/03/2012 - 18:39

@ lmouillart :
En effet, donc tu appuies rom54.

Et c'est un fait, une faille qui donne un accès root est lus difficile à trouver et à exploiter sous Unix que sous Linux ou Windows.

rom54 disait simplement que si sur 100 failles 2 étaient critiques sous OSX et 40 sous windows par exemple*, en moyenne les failles seront moins chères sous OSX.

*non pas qu'il y ait plus de faille, mais on les trouve plus facilement, on y met plus de moyens etc... Voir le prix des failles iOS.

Pages