Pour faire face à l’explosion des cyberattaques et alors que les logiciels, systèmes d’exploitation et hardware regorgent de failles de sécurité, le marché de la vulnérabilité se structure. Bug Bounties, brokers, éditeurs, constructeurs mais aussi États, tout un écosystème et une économie se créent autour de la vulnérabilité devenue un produit de transactions financières. Pièce en IV actes.
Personne n’est à l’abri d’une cyber attaque. Google, Apple, Microsoft, petit éditeur de logiciels ou grand fabricant de matériels informatiques, tous les systèmes d’exploitations, logiciels ou hardware, présentent des failles de sécurité.
Si ces vulnérabilités font la joie des pirates, elles ont des conséquences plus ou moins désastreuses sur le business et/ou l’image des producteurs de software et hardware. Face à de tels enjeux, tout un écosystème et une économie de la vulnérabilité se structure devenant un marché mondial à part entière.
Brokers : une commercialisation aux plus offrants
Acte I : les brokers.
Leur business model repose sur la commercialisation des trouvailles des chercheurs de vulnérabilités aux plus offrants, souvent des entités étatiques. Parmi les brokers vétérans, ZDI ou beyondsecurity. Ces deux entreprises achètent des vulnérabilités, sans pricing officiel, pour soi-disant les incorporer sous forme de signatures dans leurs produits de détection d’attaques.
Certains brokers lancent des défis à leur communauté. Ainsi Zerodium, un des acteurs majeurs de ce marché a, en 2017, proposé 500 000 dollars pour un 0-day dans iOS9, 1,5 million de dollars pour des découvertes de failles sur iOS 10 d’Apple ou encore un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal.
Mais la problématique posée par des brokers, moins visibles que Zerodium, est : à qui vendent-ils ? Pour tenter de réguler (ou contrôler) les activités lucratives de ces entreprises, l’accord de Wassenaar signé par 41 États sur les biens à double usage a été étendu en 2016 au « cyber » : chiffrement, logiciels de surveillance, exploits et failles 0-day.
Toutefois aujourd’hui, les régulateurs et acteurs du secteur s’opposent sur cet accord, certains y voyant des effets pervers. La définition de ce qu’est un outil d’intrusion englobaient les travaux faits par les chercheurs de bugs lorsqu’ils signalaient un problème, que ce soit à un éditeur ou un bug bounty. Cela a été en partie corrigé dans une nouvelle mouture fin 2017.
Néanmoins, en théorie, ceux qui vendent à des brokers devraient obtenir une autorisation d’export, mais le contrôle des individus est irréaliste.
Bug Bounties : les plateformes de chercheurs de failles
Acte II : entrée des Bug Bounties.
Popularisés il y a environ cinq ans sous l’impulsion de grands éditeurs, les Bug Bounties sont des entreprises qui proposent des primes (bounty) au nom des éditeurs (leurs clients) à la communauté, composée de hunters ou chercheurs de failles.
Leur mission : trouver des vulnérabilités dans les produits avant qu’elles ne soient exploitées par de vrais pirates et connues du grand public. En contre partie ils reçoivent une prime dont le prix est fixé par les éditeurs et tarifé à hauteur du préjudice estimé de la vulnérabilité.
La plateforme de Bug Bounty joue donc le rôle d’interface entre l’éditeur et le chasseur qui a découvert la vulnérabilité, préservant ainsi son identité et le protégeant d’éventuelles poursuites.
HackerOne, Yogosha, YesWeHack, Integrity ZeroCopter, etc sont autant de Bug Bounty utilisés par les éditeurs et constructeurs pour identifier leurs failles de sécurité.
Chez les grands éditeurs et constructeurs de telles plateformes viennent compléter d’autres stratégies de cybersécurité déployées de type audits de sécurité, tests d’intrusion ou, en amont le design et l’architecture destinés à éliminer des classes de vulnérabilités ou à en bloquer l’exploitation.
En revanche, pour certaines startup ou PME, ces plateformes sont parfois les seuls outils de tests, n’ayant pas les moyens financiers des grands groupes pour mettre en œuvre une sécurité multiforme et contraintes de déployer rapidement leurs produits. Une démarche insuffisante au regard de l’explosion des cyberattaques.
Les Etats: une économie de la vulnérabilité plus discrète
Acte III : les États.
À des fins de surveillance ou de lutte contre le terrorisme, certains gouvernements, matures, déploient des stratégies offensives en matière de recherche de vulnérabilités.
Souvenons-nous de Stuxnet, un malware destiné à détériorer le programme nucléaire Iranien, attribué aux USA et à Israël, qui embarquait plusieurs 0 days.
Autre exemple plus récent révélé par les Shadow Brokers, un groupe de pirates qui, en 2017 dévoilait Eternalblue, un exploit développé par la NSA. Il a ensuite été utilisé dans le ransomware WannaCry, la cyberattaque de NotPetya ou encore le cheval de Troie bancaire Retefe.
En France, ces stratégies de vulnérabilité investissent peu à peu l’État. C’est ainsi que dans le cadre de l’article 47 de la Loi pour la république numérique du 7 octobre 2016, le gouvernement souligne l’importance de la détection des vulnérabilités en garantissant la protection des chercheurs de bug signalant des vulnérabilités à l’ANSSI (Agence nationale pour la sécurité des systèmes d’information).
La vulnérabilité est aussi une préoccupation de la Commission européenne. C’est ainsi qu’elle vient de publier un rapport sur l’économie des vulnérabilités et qu’elle soutient les projets de recherche de bug liés aux logiciels libres utilisés par l’UE.
Apporter des correctifs et/ou déployer une stratégie de protection
Acte IV : les éditeurs.
Si tous les logiciels et matériels contiennent des vulnérabilités, toutes n’ont pas les mêmes impacts. Certaines donnent accès à des données critiques, perturbent le fonctionnement d’une application, ou provoquent un déni de service. Ces dégâts sont d’autant plus importants que les vulnérabilités se trouvent dans des software ou hardware fortement déployés.
Face à ces failles, les éditeurs peuvent adopter plusieurs stratégies. Si pour les vulnérabilités les plus critiques et faciles d’accès, ils développent des correctifs, pour celles difficilement accessibles, ils dressent autour des failles des solutions de protection : filtrage, pare-feu, contrôles d’accès, etc.
Pour répondre à ces nouveaux besoins, les éditeurs créent en interne des red teams et des blues teams, afin de tester leurs propres produits ou leurs composants externes.
En amont, ils prennent en compte le design, les choix technologiques mais aussi la formation des développeurs. En aval, ils mettent en place des tests d’intrusion et se reposent sur les bug bounties pour ausculter en permanence leurs produits. De ce point de vue, la transformation de Microsoft au cours des 15 dernières années, ou les évolutions de la sécurité des iPhone contre les jailbreaks (et pour leur sécurisation en général) sont impressionnants.
Citons aussi le projet de Google, Google Project Zero, dont l’objectif est, sous couvert d’utiliser les logiciels dans ses offres, de confier la recherche de vulnérabilités à des chercheurs internes à l’entreprise tout en incitant les éditeurs à corriger les failles.
Tous les acteurs, conscients des impacts potentiels, s’organisent pour être à même de traiter une vulnérabilité qui les impacte, tant en termes d’image, que technique, avec les investissements nécessaires à l’appréhension de ce nouveau risque.
Aujourd’hui la vulnérabilité n’est plus aux seules mains de personnes mal intentionnées.
Elle est devenue une économie à part entière dirigée par tous ces acteurs, par des méthodologies, des business models et des lois. Une économie qui ne manquera pas de connaître des rebondissements.
Crédit Photo : Smeisatch-Shutterstock
