La Navy américaine recrute un spécialiste des failles zero day

Dans un appel d’offres, la Navy américaine cherche, sans complexe, un prestataire spécialisé dans les failles zero day. Il devra être capable de produire des attaques sur différents types de plateformes, identifiées dans l’annonce.

Le site Fedbizopps.gov a hébergé un appel d’offres pour le moins originale. En effet, elle provenait du Naval Supply Systems Command, c’est-à-dire de la logistique de la Navy américaine (armement, flotte, etc). Cette dernière recherchait un prestataire capable de produire des attaques informatiques opérationnelles fonctionnant sur les plateformes les plus utilisées. Parmi celles-ci, l’annonce dresse une liste non exhaustive des cibles : Microsoft, Adobe, Java (Oracle), EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT et Linux.

La mission est simple, la société retenue « doit fournir au gouvernement un projet de liste de vulnérabilités 0-Day ou N-Day (de moins de 6 mois) disponibles. Cette liste devra être mise à jour tous les trimestres et comprendra des attaques ou des méthodes de renseignement affectant les logiciels largement utilisés ». En complément, la fiche ajoute que « le gouvernement choisira dans cette liste et autorisera le développement direct des binaires d’attaques. Le produit définitif sera communiqué au gouvernement par une liaison électronique sécurisée ». Sur le timing, l’annonce précise que « sur une période d’un an, un minimum de 10 rapports uniques avec les binaires d’exécution sera fourni au rythme d’au moins 2 par trimestre ; ces binaires pourront être déployées opérationnellement à la livraison ».

Un sujet sensible

L’annonce a été repérée par l’EFF (Electronic Frontier Foundation) via un post sur Twitter de Dave Maas. Elle a été retirée dans la foulée sur le site de recrutement de prestataires. Cette recherche de société spécialiste de failles zero day montre à quel point ces vulnérabilités sont devenues un enjeu pour les Etats. Il y a quelques mois, des chercheurs ont montré que ce marché était assez complexe avec différents intervenants, les experts en sécurité, les États et le Darknet. Le jeu de l’offre et de la demande n’est pas le seul à rentrer en ligne de compte, les programmes de Bug Bounty (recherche de bugs, programmes mis en place par les éditeurs), la valorisation du travail des chercheurs, l’amélioration des logiciels sont des éléments à prendre en considération.

Ce marché est un sujet sensible, comme le montre les discussions sur l’exportation de failles zero day au sein de l’arrangement de Wassenaar (sur le contrôle des exportations d’armes conventionnelles et de biens et technologies à double usage). Les Etats-Unis souhaitent imposer l’obtention d’une licence pour cette exportation. Un frein pour les éditeurs et les chercheurs qui ne veulent pas de ce contrôle et qui soulignent le risque d’une montée en puissances des vulnérabilités sur le marché noir. Un lieu où les failles zero day peuvent déjà se monnayer des milliers voire des dizaines de millier de dollars.

A lire aussi :

Ransomware : un retour sur investissement très lucratif

Venom, une faille zero day empoisonne des millions de machines virtuelles

Le réseau de Kaspersky piraté par Duqu 2.0

 Crédit Photo: Eugene Sergueev-Shutterstock