Le marché noir du bug

Arnaud de la Grandière |
Avec chaque nouvelle édition du concours Pwn2Own, et la révélation de faiblesses notoires dans la sécurité de Mac OS X, certains se rassurent en se souvenant que le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché.

Un article de Forbes vient remettre en question cette antienne : Adriel Desautels dirige la société Netragard, spécialisée dans l'achat-vente de bugs. Ces bugs, découverts par des hackers indépendants et revendus à des organismes dont Desautels n'a pas souhaité révélé l'identité, peuvent s'échanger à prix d'or. Et l'argus du bug sur Mac OS X a sensiblement augmenté : il se dit prêt à acheter ces failles entre $15.000 et $115.000. « Il y a un très gros marché pour les bugs sur Mac OS X actuellement. Nos commanditaires sont très intéressés, et dans certains cas ils demandent spécifiquement certains types de bugs sur Mac. » Un tarif toutefois inférieur de 15 % à celui de leurs contreparties sur Windows.

L'intérêt n'est pas ici de hacker des machines par millions, mais de cibler la machine spécifique d'un utilisateur en particulier, pour lui soustraire les précieuses informations et données qu'elle pourrait receler. Il s'agit donc d'espionnage, industriel ou non, mais Desautels se défend de fournir les cybercriminels, sa clientèle étant scrupuleusement filtrée.

Les gagnants du concours Pwn2Own repartent avec la machine qu'ils ont vaincue, et entre $10.000 et $15.000, soit le tarif que paieraient Zero Day Initiative, la société organisatrice du concours, ou la division iDefense de Verisign, pour obtenir ces bugs. Les deux sociétés informent les fabricants des failles et implémentent des contremesures dans leurs logiciels de sécurité.

Charles Miller, triple vainqueur du concours, s'est agacé du manque d'initiative des éditeurs pour garantir la sécurité de leurs logiciels (lire : Charles Miller s'en prend à Apple, Adobe et Microsoft). Ce qui fait malgré tout les affaires de certains…
avatar GStepper | 

Du coup, si les faits relatés dans l'article sont vrais, ça nous donne un intêret particulier des hackers pour OS X car avec un delta de 15% par rapport aux prix de bugs Windows cela nous donne un ratio part de marché/prix d'achat de bug assez impressionnant pour OS X. Mais à part ça, nombreux sont ceux qui pensent que M. Steve Jobs reçois/répond directement aux mails les plus anodins comme ça, en changeant la configuration de son client mail entre les mails envoyés (voir les liens fournis dans l'article suivant:https://www.macg.co/news/voir/148211/steve-jobs-s-ennuierait-il-maj) Soyons sérieux 5 petites minutes quand même... Aucune structure qui entend garder ses petits "secrets" ne procéderait de la sorte, surtout avec les failles démontrées (mais découvertes il y a peut être un peu plus longtemps) récemment...

avatar pseudo714 | 

Peut être que Google paye à côté ce qui évite aux buts de ne pas être revelés. Par contre pourquoi les hackers du concours ne garde pas leurs découvertes pour les vendre si ça plus que le prix. Pour la gloire?
Quand à Apple je pense qu'ils prendront la sécurité plus au serieux Surtout qu'ils ont embauché des experts en securité.

avatar Psylo | 

Vanter la sécurité d'OSX en se basant sur la couche Unix c'est défendable, car c'est effectivement l'un des nombreux points forts d'OSX. Certaines failles semblent être des composants opensource pas mis à jour, mais la plupart on l'air de se situer dans les couches supérieures du système (aperçu, safari...). A trop bosser sur l'iPhone et l'iPad, les devs d'OSX semblent avoir un peu relaché le pied..
Ca explique aussi en partie les bridages débiles d'iPhoneOS, et les conditions douteuses de validation d'apps sur l'AppStore.

avatar HAL-9000 | 

A tous ceux qui critiquent Miller et sa façon de faire : en effet, il aurait mieux fait de ne rien dire en public et de vendre ses failles en douce, car cela rapporte vraisemblablement beaucoup plus que 10 0000 USD.

avatar HAL-9000 | 

(10 000) pas 100 000 vous m'aurez compris, hein. :D

avatar Alex56 | 

« Le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché »
C'est dingue de lire une ânerie pareille ici.

avatar Brewenn | 

[b]HAL-9000[/b] [26/03/2010 15:47] (editer)
En cliquant sur (editer) tu peux corriger ton commentaire !

avatar oomu | 

« Le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché »

c'est pourtant faux et maintes fois prouvés.

Si vous voulez parler en terme de business, ce qui protège une plateforme c'est le coût pour la pirater. Plus ce coût est élevé et peu rentable, moins les pirates s'y intéressent.

Jusqu'à présent, ce cout est estimé nettement supérieur pour le mac que pour le pc/windows. Pour diverses raisons techniques, interface et le fait qu'Apple maitrise la mise à jour des macs assez bien (la grande majorité des propriétaire de mac mettent à jour leur machine, contrairement au pc).

Mais cela signifie en rien qu'il n'y a pas des gens intéressés par le mac (ou linux, n'imaginez PAS le contraire !, mes machines sont saturés de tentatives de connexions pour pirater mon routeur, mon serveur linux, etc)

avatar Brewenn | 

@Alex56
En fait tous les hackers savent que la pomme est passé avant eux, et qu'il n'y a plus grand chose à ratisser sur une grande majorité des comptes bancaires des gourmands de pommes :))

avatar JackosKing | 

Le cout du piratage peut etre defini par la quantité de machine a pirater ou par la valeur des informations à pirater.
En gros si un pdg est sur un mac, ca peut valoir le coup de debourser 100 000E pour avoir acces a ses infos. La rentabilité est vite trouvée avec la prévision de la valeur de l'action.
Par contre pour une cb d'un gars, entre 0,5E et 10E, un spam un attaque DDS, il vaut mieux viser la quantité de machine a pirater et donc la facilité du piratage pour un déploiement viral.

avatar Nordlaser | 

« Le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché »...

C'est comme avec le réchauffement climatique. À force de lire et d'entendre :
« L'homme est responsable du réchauffement climatique », cela devient un dogme, inutile de le prouver.

avatar Diavlo | 

"Desautels se défend de fournir les cybercriminels, sa clientèle étant scrupuleusement filtrée."
Mouahahahahahahaha !
Mais bien sur...

avatar lennoyl | 

"Les gagnants du concours Pwn2Own repartent avec la machine qu'ils ont vaincue"
mieux vaut hacker sur un mac pro que sur un mac mini ^^.

avatar flonou | 

« Le Mac est à l'abri de l'intérêt des hackers, grâce à ses modestes parts de marché »

je copie colle cette phrase vu que ça a l'air tendance ... Ah mais attendez voir, il n'y a pas que ça dans l'article !! on peut lire aussi :

"Un article de Forbes vient remettre en question cette antienne "

Merde alors, fallait lire plus loin !

avatar marc_os | 

Et ce que fait cette société Netragard est LÉGAL ???
Acheter des bogues puis les revendre à des « organismes » dans le but de « soustraire les précieuses informations et données » des utilisateur est autorisé ?????
Et cette société a pignon sur rue ?
Y a un truc qui m'échappe.
:(

CONNEXION UTILISATEUR