Pour gérer vos consentements :

La Navy américaine recrute un spécialiste des failles zero day

Le site Fedbizopps.gov a hébergé un appel d’offres pour le moins originale. En effet, elle provenait du Naval Supply Systems Command, c’est-à-dire de la logistique de la Navy américaine (armement, flotte, etc). Cette dernière recherchait un prestataire capable de produire des attaques informatiques opérationnelles fonctionnant sur les plateformes les plus utilisées. Parmi celles-ci, l’annonce dresse une liste non exhaustive des cibles : Microsoft, Adobe, Java (Oracle), EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT et Linux.

La mission est simple, la société retenue « doit fournir au gouvernement un projet de liste de vulnérabilités 0-Day ou N-Day (de moins de 6 mois) disponibles. Cette liste devra être mise à jour tous les trimestres et comprendra des attaques ou des méthodes de renseignement affectant les logiciels largement utilisés ». En complément, la fiche ajoute que « le gouvernement choisira dans cette liste et autorisera le développement direct des binaires d’attaques. Le produit définitif sera communiqué au gouvernement par une liaison électronique sécurisée ». Sur le timing, l’annonce précise que « sur une période d’un an, un minimum de 10 rapports uniques avec les binaires d’exécution sera fourni au rythme d’au moins 2 par trimestre ; ces binaires pourront être déployées opérationnellement à la livraison ».

Un sujet sensible

L’annonce a été repérée par l’EFF (Electronic Frontier Foundation) via un post sur Twitter de Dave Maas. Elle a été retirée dans la foulée sur le site de recrutement de prestataires. Cette recherche de société spécialiste de failles zero day montre à quel point ces vulnérabilités sont devenues un enjeu pour les Etats. Il y a quelques mois, des chercheurs ont montré que ce marché était assez complexe avec différents intervenants, les experts en sécurité, les États et le Darknet. Le jeu de l’offre et de la demande n’est pas le seul à rentrer en ligne de compte, les programmes de Bug Bounty (recherche de bugs, programmes mis en place par les éditeurs), la valorisation du travail des chercheurs, l’amélioration des logiciels sont des éléments à prendre en considération.

Ce marché est un sujet sensible, comme le montre les discussions sur l’exportation de failles zero day au sein de l’arrangement de Wassenaar (sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage). Les Etats-Unis souhaitent imposer l’obtention d’une licence pour cette exportation. Un frein pour les éditeurs et les chercheurs qui ne veulent pas de ce contrôle et qui soulignent le risque d’une montée en puissances des vulnérabilités sur le marché noir. Un lieu où les failles zero day peuvent déjà se monnayer des milliers voire des dizaines de millier de dollars.

A lire aussi :

Ransomware : un retour sur investissement très lucratif

Venom, une faille zero day empoisonne des millions de machines virtuelles

Le réseau de Kaspersky piraté par Duqu 2.0

Crédit Photo: Eugene Sergueev-Shutterstock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

4 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

4 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

8 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

11 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

13 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago