Pour gérer vos consentements :

La Navy américaine recrute un spécialiste des failles zero day

Le site Fedbizopps.gov a hébergé un appel d’offres pour le moins originale. En effet, elle provenait du Naval Supply Systems Command, c’est-à-dire de la logistique de la Navy américaine (armement, flotte, etc). Cette dernière recherchait un prestataire capable de produire des attaques informatiques opérationnelles fonctionnant sur les plateformes les plus utilisées. Parmi celles-ci, l’annonce dresse une liste non exhaustive des cibles : Microsoft, Adobe, Java (Oracle), EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT et Linux.

La mission est simple, la société retenue « doit fournir au gouvernement un projet de liste de vulnérabilités 0-Day ou N-Day (de moins de 6 mois) disponibles. Cette liste devra être mise à jour tous les trimestres et comprendra des attaques ou des méthodes de renseignement affectant les logiciels largement utilisés ». En complément, la fiche ajoute que « le gouvernement choisira dans cette liste et autorisera le développement direct des binaires d’attaques. Le produit définitif sera communiqué au gouvernement par une liaison électronique sécurisée ». Sur le timing, l’annonce précise que « sur une période d’un an, un minimum de 10 rapports uniques avec les binaires d’exécution sera fourni au rythme d’au moins 2 par trimestre ; ces binaires pourront être déployées opérationnellement à la livraison ».

Un sujet sensible

L’annonce a été repérée par l’EFF (Electronic Frontier Foundation) via un post sur Twitter de Dave Maas. Elle a été retirée dans la foulée sur le site de recrutement de prestataires. Cette recherche de société spécialiste de failles zero day montre à quel point ces vulnérabilités sont devenues un enjeu pour les Etats. Il y a quelques mois, des chercheurs ont montré que ce marché était assez complexe avec différents intervenants, les experts en sécurité, les États et le Darknet. Le jeu de l’offre et de la demande n’est pas le seul à rentrer en ligne de compte, les programmes de Bug Bounty (recherche de bugs, programmes mis en place par les éditeurs), la valorisation du travail des chercheurs, l’amélioration des logiciels sont des éléments à prendre en considération.

Ce marché est un sujet sensible, comme le montre les discussions sur l’exportation de failles zero day au sein de l’arrangement de Wassenaar (sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage). Les Etats-Unis souhaitent imposer l’obtention d’une licence pour cette exportation. Un frein pour les éditeurs et les chercheurs qui ne veulent pas de ce contrôle et qui soulignent le risque d’une montée en puissances des vulnérabilités sur le marché noir. Un lieu où les failles zero day peuvent déjà se monnayer des milliers voire des dizaines de millier de dollars.

A lire aussi :

Ransomware : un retour sur investissement très lucratif

Venom, une faille zero day empoisonne des millions de machines virtuelles

Le réseau de Kaspersky piraté par Duqu 2.0

Crédit Photo: Eugene Sergueev-Shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago