L'incroyable business des failles de sécurité

Christophe Laporte |


La sécurité n'est pas un marché comme les autres. Chaque année, début mars, se réunissent à Vancouver des personnes du monde entier qui montrent et exploitent les failles des principaux navigateurs. Pour chaque faille exploitée, les participants repartent en moyenne avec 10 000 $. Mais Pwn2Own, c'est en quelque sorte les Jeux olympiques de cette industrie. De la gloire, mais peu d’argent ! Car avec une faille de sécurité, il est possible de gagner beaucoup plus d'argent....

Une faille relative à Mac OS X se négocie entre 20 000 et 50 000 $, une relative à Windows entre 60 000 et 120 000 $ tandis qu'une faille pour Firefox ou Safari peut se vendre entre 60 000 et 150 000 $. Mais le top du top, c'est de trouver une faille pour iOS. Vous pouvez alors empocher entre 100 000 $ et 250 000 $.

Forbes explique qu'il existe un véritable marché gris de la faille de la sécurité. Il existe des courtiers qui se chargent de vendre les failles en question. Leurs clients ? Principalement, les autorités européennes et américaines.



Grugq, qui se prête à ce petit jeu depuis plus de dix ans, explique que ce sont les Européens et les Américains qui paient le mieux. Son métier, affirme-t-il, est similaire à celui d'un éditeur de logiciels. Il doit vendre une faille comme si c'était un produit fini avec une documentation abondante. "La seule différence, c'est que vous ne vendez qu'une seule licence et que tout le monde vous appelle le diable".

L'homme né en Afrique du Sud explique que certains clients sont meilleurs que d'autres. Il n'aime ni les Chinois ni les Russes, qui ne paient pas assez. Il y a en Chine beaucoup de hackers qui travaillent pour les autorités, ce qui fait que les prix ne sont pas élevés. D'autre part, il semble que travailler avec les Russes ne soit pas une affaire de tout repos. Et c'est apparemment la meilleure façon de rendre une faille publique.

Il s'agit en tout cas d'un business très rentable. Rien que pour le mois de décembre, il a empoché 250 000 $ avec ses acheteurs gouvernementaux. Grugq affirme prendre une commission de 15 % par vente et déclare ne pas vendre une faille moins de 50 000 $. Cette année, son objectif est de passer le million de dollars.

Grugq / Image : gohsuket


Bien entendu, ce type de commerce est loin de faire l'unanimité. Chris Soghoian, activiste de l'Open Society Foundations, décrit cette activité comme "les marchands modernes de morts" qui vendent "les balles de la cyberguerre". "Dès que l'une de ces armes vendues à un gouvernement finira dans les mains de quelqu'un de malintentionné et sera utilisée pour attaquer des infrastructures américaines de la plus haute importance, c'est là que les ennuis vont vraiment commencer", affirme-t-il en substance. Et de qualifier ces courtiers de "cow-boys" qui vont selon lui plonger dans l'obscurité l'ensemble de l'industrie de la sécurité.

D’après Adriel Desautels, fondateur de Netragard qui vend également des failles de sécurité aux plus offrants, ce marché est en plein boom depuis un an. Il y a selon lui de plus en plus d'acheteurs avec de plus en plus de moyens. Auparavant, une faille était vendue en quelques mois. Désormais, c'est une question de semaines, voire de jours.

Il explique que toutes les failles vendues ne sont pas forcément exploitées. Adriel Desautels évoque que l'un de ses clients du secteur privé en a récemment acheté une à des fins marketing pour s'en servir comme preuve de concept. La personne en question a quand même déboursé 125 000 $.

Et l'éthique dans tout cela ? Adriel Desautels explique ne pas vendre ses failles à n'importe qui et est extrêmement sélectif : "nous refusons plus de personnes que nous en acceptons. Soyons francs, nous vendons des cyber-armes".

Une chose est également certaine, ces sociétés sont prêtes à travailler avec beaucoup de monde, sauf les principaux intéressés. Les prix pratiqués sont sans commune mesure avec les tarifs affichés par les éditeurs lorsqu'on leur soumet une faille de sécurité. Google, le plus généreux en la matière, paie jusqu'à 3133,70 $, pour un bogue. La fondation Mozilla et Facebook ont également des programmes similaires…

Si certains comme Grugq sont éventuellement prêts à discuter si une société comme Google s'aligne sur les prix du marché, d'autres ne veulent rien entendre. C'est le cas des Français de Vupen Security. Le grand vainqueur de l'édition 2012 de Pwn2Own, qui affirme que pas même pour un million de dollars, il vendrait quoi que ce soit à Google. Ce serait tuer son business en quelque sorte. "Nous ne voulons pas partager avec eux notre savoir-faire qui pourrait les aider à corriger une faille ou d'autres similaires. Nous voulons garder cela pour nos clients".

L'équipe de Vupen Security à Pwen2Own 2012 / Image : Dan Godin (Ars Technica)



Vupen développe des techniques permettant de trouver "des failles à la chaine" et par conséquent de vendre chacune d'elles très cher. On comprend mieux dès lors pourquoi la société ne souhaite pas communiquer son savoir-faire à Google.

Tags
avatar momo-fr | 
Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?
avatar kazede | 
"une relative à Windows entre 60 000 et 12 000 $" 60 000 et 120 000 non ?
avatar Christophe Laporte | 
oops. corrigé merci
avatar Kurby'S | 
@cl97 : je l'avais signalé via votre fourmulaire.
avatar Kurby'S | 
*formulaire.
avatar iTroll | 
J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares...
avatar Mr.20 | 
@ Kurby'S bravo ! Vous voulez un bon point ? :P
avatar ziggyspider | 
[quote]momo-fr [26/03/2012 12:52] Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille.[/quote] C'est plutôt tout faire pour qu'elles ne soient pas comblé …
avatar Alméti | 
Moins d'ordis à la clé... Tout simplement.
avatar liocec | 
@momo-fr : 'Un monde merveilleux… trouver la faille, vendre la faille et accessoirement combler la faille. Mais à l'origine, il y a bien des producteurs de failles… non ?' En effet, traitons le pb à l'origine...éradiquons les dev... Non je rigole, c'est de l'humour !
avatar Kurby'S | 
@Mr.20 : Préfère une image si ça dérange pas...
avatar Mabeille | 
@momo-fr non les failles existent parce que les logicielles existent.
avatar noooty | 
@iTroll : les failles d'osx sont très mineures...
avatar Marc-Alouettes | 
On voit qu'Apple paye jusqu'à 250 000 $ pour une faille iOS. Cela a vraiment l'air essentiel pour elle. (Mais aussi pour nous si le paiement par tel devient effectif)
avatar rom54 | 
Très bon article, encore une fois. [quote=iTroll 26/03/2012 13:16] J'aurais pensé qu'une faille OSX valait une fortune, puisqu'elles sont si rares... [/quote] Le prix d'une faille est lie a son potentiel. Sur OS X la majorité des failles ont, comme pour la majorité des Unix, un impact limite. Ensuite vient la possibilité d'exploiter la faille dans le cadre d'un réseau, et la le Mac a pour force la faiblesse de son nombre... Mais la on parle de prix publics, car il y a des failles bien plus valorisables que d'autres. Les failles les plus intéressantes se trouvent dans les microcodes, les bootloader, les drivers, bref tous ce qui se trouve a un niveau en dessous du système et bien évidement des applications. Bien sur les cybercriminels vont exploiter les failles des applications pour détourner des fonds, voler des codes et des informations, faire du chantage, corrompre des bases de données... Ce sont les voleurs a la tire ou les petits malfrats du cybercrime. Vienent apres les attaques visant a détruire le fonctionnement d'une société ou d'une institution, souvent par les celebres attaques DDoS, et la il est très interressant de pouvoir corrompre les serveurs mais aussi les firewall hardware et les swicth... Puis ensuite on passe au niveau militaire. La, on trouve de l'espionnage jusqu'à l'immobilisation ou la destruction des moyens de communications. Si les failles "commerciales" les mieux valorisées sont celles d'iOS, c'est parce que c'est un OS populaire, généraliste, qui est utilisé par des personnes non spécialistes et qu'elles y mettent beaucoup de leurs informations personnelles... On pourrait se dire pourquoi pas Android, vu sa représentation? En fait Android est très fragmenté, une faille a plus de mal a toucher une grosse base. De plus Android a une réputation suspecte, donc l'utilisateur fait plus attention... Il manque dans ce tableau l'indication de l'eldorado: les réseaux sociaux... Ceci dit on parle ici de commerce et a ce qui s'y limite.
avatar aleios | 
@Marc-Alouettes: Vous n'avez pas bien lu, ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes, ce sont "les autorités européennes et américaines" autrement dit les gouvernements qui pour des raisons de sécurité et de surveillance (pour ne pas dire d'espionnage) qui le font. Article fort intéressant en tout cas.
avatar kaos | 
Vu le nombre de failles dans window , chaque sortie de nouvelles versions doit faire des millionnaires.
avatar Anonyme (non vérifié) | 
[quote]On pourrait se dire pourquoi pas Android, vu sa représentation? En fait Android est très fragmenté, une faille a plus de mal a toucher une grosse base. De plus Android a une réputation suspecte, donc l'utilisateur fait plus attention...[/quote] Tu aurais quelque chose pour étayer tes propos ? Parce que le coup de l'utilisateur qui fait plus attention sous Android, pour le moment ça me fait doucement rigoler.
avatar Marc-Alouettes | 
@aleios : "ce n'est pas Apple ni aucune des sociétés évoquées dans l'article qui sont prêt a débourser ces sommes énormes" Soit, mais je présume que ces failles doivent être revendues à qui de droit pour qu'il y soit remédié, non ?
avatar rick75 | 
Le boulot de developpeur de grosse boite n'a jamais été aussi cool : - J'optimise pas mon code, je compte sur l'évolution matérielle - J'optimise pas la finalité de mon travail, je compte sur les mises à jour, - J'optimise pas la sécurité, je compte sur des geeks qui n'ont que cela à faire de leur temps libre.
avatar béber1 | 
sunjohn à moins qu'il ne sous-entende que les utilisateurs Android soient à majorité des geeks et des nerds farouchement attachés au respect de leurs vies privées
avatar Frodor | 
Merci MacGe pour cet article ! J'aime bien ce genre d'article, c'est très intéressant et ça colle beaucoup avec l'acutalité et la situation information actuelle. ;).
avatar joneskind | 
@Marc-Alouettes : Ben non. C'est des méchants qui exploitent ces failles et qui n'ont aucun intérêt à ce qu'elles soient bouchées. Donc personne, surtout, ne révèle ses failles aux constructeurs. Donc c'est pas Apple qui paye...
avatar lmouillart | 
@rom54 Une faille critique sous un OS quel qu'il soit permet souvent de faire beaucoup de dégâts que ce soit du Windows, Unix, où autre, surtout lorsqu'elles sont ajoutés. Exemple failles classiques de Flash, PDF, ... qui donnent un accès local et ensuite faille sur d'autres outils, bouts de noyau qui permettent des accès root.
avatar Un Vrai Type | 
@ lmouillart : En effet, donc tu appuies rom54. Et c'est un fait, une faille qui donne un accès root est lus difficile à trouver et à exploiter sous Unix que sous Linux ou Windows. rom54 disait simplement que si sur 100 failles 2 étaient critiques sous OSX et 40 sous windows par exemple*, en moyenne les failles seront moins chères sous OSX. *non pas qu'il y ait plus de faille, mais on les trouve plus facilement, on y met plus de moyens etc... Voir le prix des failles iOS.
avatar rom54 | 
@ sunjohn @béber1 a en partie raison, il y a plus de geek et de nerds sous Android que sous iOS, pour des raisons aussi idéologiques(opensource, personnalisation,...) que mécaniques (prix, gammes, diffusion, quantité). Mais sinon, Apple a toujours eu une réputation de fiabilité et d'environnement épargné par les virus, l'utilisateur lui fait donc beaucoup plus confiance (aveuglement d'ailleurs). Ce qui n'est pas faux en soit, iOS est plus sécurise au niveau de l'utilisateur normal (apres Android dispose de contrôles permettant un contrôle plus profond et précis, mais nécessite une connaissance approfondie..) C'est assez basique comme principe, une personne qui développe sa confiance (habitude, sensation de maitrise,..) envers un environnement sera moins vigilante. Exemple, les accidents de la route, qui frappent bien plus gravement sur les trajets connus et courts. La personne neglige d'être vigilante, de mettre sa ceinture, de sécuriser son chargement,... Je ne dirai donc pas que l'utilisateur d'Android est plus mature ou conscient, mais comme il vient majoritairement de Windows, ou il a une culture(un conditionnement) de vivre dans un environnement hostile, il est naturellement plus méfiant.. Celui qui vient de Windows et qui va sur iOS, y va pour la simplicité et l'absence de virus. Apres quelques temps, il perd ses habitudes... L'autre point, c'est de prendre en compte que Android est open source donc la durée de vie d'une faille est bien plus courte que dans un OS propriétaire, surtout avec la dynamicite de Google...
avatar rom54 | 
@lmouillart A la réponse bien argumente de @Un Vrai Type, j'ajouterai en plus que si sous Windows il y a plus de failles hautement critiques c'est parce que Windows doit intégrer et gérer un environnement bien moins homogène, connu et previsible que sous Mac OS X. Ajouté au fait que l'architecture de Windows est loin d'etre aussi robuste que celle d'un Unix... De plus, sous OS X tu connais de manière exhaustive le matériel qui va tourner, et il est limité comparativement a Windows. De plus il doit être certifie par Apple. Et regardes, meme au niveau des cartes graphique, Apple modifie les drivers... De son cote l'utilisateur Windows va pouvoir installer la dernière carte graphique a la mode, installer des drivers bidouilles, et va généralement installer massivement du soft déplombe (quand c'est pas Windows lui meme)... Et il y a aussi le phénomène de durée de Windows qui le rend plus vulnérable. Aujourd'hui l'écrasant majorité des PC tournent sous XP, un système datant de 2001, massivement expose et très mal sécurise... On peut donc avoir des cascade de failles critiques(application, Windows, drivers, microcode,..) dont les bases tapent au niveau matériel, et la c'est le jackpot!
avatar thant | 
Es-ce le fait que des gouvernements paient ce genre de service que ces pratiques restent légale?? Pourquoi à la place de travailler en quelque sorte contre les développeurs d'OS ne travail t'ils pas directement avec??
avatar Cellulo | 
@thant ce serait moins rentable de travailler directement avec le développeur.
avatar Marc-Alouettes | 
@thant : "Pourquoi à la place de travailler contre les développeurs d'OS ne travail t'ils pas directement avec??" C'est exactement ce qui m'interpelle aussi car je suis bien certain qu'Apple serait le mieux disant pour les failles d'iOS.
avatar nicolas | 
ce que je vais dire est peut-être utopique, mais on légifère sur les composants chimiques dans les objets manufacturés (plomb, bisphénol, etc....et avec des réglementations RohS, LEED) et on ne légifère pas sur la "qualité de sécurité" des logiciels. Pour moi, un logiciel présentant de telles failles est "toxique", comme un jouet en plastique au plomb. après, je conviens que du code, c'est dense, c'est long, c'est complexe, mais quand même, il y a bien quelque chose qui cloche... sans même parler de la façon dont certains monétise ces failles, que je trouve abjecte.
avatar Cellulo | 
c'est ça qui est "bien", ce n'est pas réglementé.
avatar Fulvio | 
"Marc-Alouettes [27/03/2012 08:23] C'est exactement ce qui m'interpelle aussi car je suis bien certain qu'Apple serait le mieux disant pour les failles d'iOS." A 100 ou 250 000 $ la faille, c'est pas sûr du tout. Je sais bien que Apple est riche, mais s'il faut lâcher 1 million toute les 3 failles, elle ne va pas aller loin. Si Google ne donne que 3000 $ pour les failles d'Android, Apple ne doit pas donner plus. En tout cas, apprendre l'existence de ce commerce éclaire sur les moyens mis en oeuvre pour créer un programme comme Stuxnet.
avatar Un Vrai Type | 
@nicolas : Il y a un problème dans votre vision : Pour savoir si il y a du plomb dans une peinture, on peut l'analyser chimiquement. Ce test va couter en ressources (humaines, labo, produit, formation...) Mais pour qu'il n'y ait pas de plomb, il SUFFIT de ne pas en mettre... Imaginez maintenant votre peinture avec du plomb qui ne soit détectable que sous certaines conditions (alignement terre-lune-soleil, heure de la journée, pression, saturation atmosphérique en eau etc...) L'assertion "il n'y a pas de plomb dans la peinture" devient compliquée à tester. Maintenant cette peinture peut créer du plomb de manière inopinée... L'assertion "Il suffit de ne pas mettre de plomb..." tombe. Voilà pourquoi dire "Il est interdit de faire une faille de sécurité" est impossible. Il faut bien comprendre que les développeurs ne font pas exprès de créer des failles. Après, oui, il y a une différence entre le boulet qui s'en contre fiche et le développeur expert en sécurité.Mais on parle là bien de combat entre experts en sécurités.
avatar Un Vrai Type | 
@ Fulvio : La politique de Google/Apple et consort table aussi sur une autre approche : Une faille vendue 150 000 $ par X à un gouvernement pourrait être découverte par Y qui la vendrait seulement 3 000 $ à Google. X est beaucoup plus fort que Y, y met plus de moyen etc... Mais les Y sont très nombreux ce qui rééquilibre les chance de trouver une faille... PS : Ce commentaire n'est pas sexiste ;)
avatar Trollolol | 
@Un Vrai Type Ou on peut s'occuper de vérifier et sanctionner quand l'éditeur ne cherche pas à corriger les failles tant qu'il n'ya aucune exploitation :) Quand certains laisse pendant 6mois voir plus un gros trou parce que non utilisé pour le moment :/ C'est déjà beaucoup plus réaliste et faisable.
avatar fantomx6 | 
Et après on viendra nous dire que les vendeurs d'Anti-Virus sont les gentils !!! Les failles des logiciels, OS, drivers, Etc... Une légende Urbaine, ou pas
avatar SugarWater | 
Le capitalisme dans toute sa splendeur
avatar golgoth666 | 
Et pour linux, combien? Avec tous les bogues qui y courent !!!!!!! Avais essayé Unbuntu en dual boot avec XP, total après moults plantages suis resté sous xp.
avatar marc_os | 
En introduction, je tiens à prévenir que je suis anticapitaliste. Donc si vous voulez zapper, you're wellcome. Or comme tout le monde je vis dans une société capitaliste et qui plus est je travaille actuellement dans le milieu de la finance (au niveau technique) - faut bien manger. J'ai donc parfois des discussions houleuses avec certains de mes collègues qui sont à fond pour le système. Quand j'évoque la morale, l'éthique, on me rétorque que le capitalisme est un système et qu'un système n'a pas de morale en soit; donc que le capitalisme n'a pas de morale. Ce discours est bien gentil, mais ma réponse est que les gens ont une morale ou pas. Or il s'avère que la morale des capitalistes (ceux qui en profitent vraiment) est vraiment douteuse. Le capitalisme permet tout: Agir moralement ou non. On voit comment les restaurateurs ont tenu leur promesse. J'attends de voir à quel point les "entrepreneurs" si chers tiendront leur promesse quand leurs charges seront baissées comme ils le souhaitent. Et pour revenir à cette brève, elle montre un nième exemple de l'immoralité des gens qui ne parlent et pensent que business. Le système permet ça. Et les sociaux-démocrates vivent dans l'illusion qu'ils pourront un jour avoir un "capitalisme à visage humain". On voit ce que ça donne ! Dernier exemple : A la cantine - pardon: au restaurant d'entreprise - où je travaille, ils proposent des kiwis bio - importés de Nouvelle Zélande. Cherchez l'erreur.

CONNEXION UTILISATEUR