La politique biaisée de divulgation des zero day de la NSA
La NSA a dévoilé une infographie où elle annonce partager avec les éditeurs 91% des failles zero day découvertes. Mais le plus inquiétant reste les 9% restant.
Avec les documents d’Edward Snowden et les différentes accusations d’utiliser des failles critiques pour mener à bien des opérations souterraines, les agences américaines de renseignement obligent le gouvernement à montrer un peu de transparence. C’est ce qui vient de se produire avec une infographie de la NSA (Nation Security Agency) censée démontrer sa politique de divulgation de failles zero day.
Le chiffre est annoncé en gros pour qu’il imprègne bien le cerveau : 91%. La NSA partage donc une majorité des vulnérabilités critiques découvertes avec les éditeurs pour les corriger. Cette version est selon Reuters qu’une partie émergée de l’iceberg. En effet, l’infographie ne dit pas quand ces découvertes sont partagées. Or selon d’anciens responsables du gouvernement américain, l’agence de sécurité utilise en général ces zero day achetées à l’extérieur pour mener ses propres opérations offensives et ne communique qu’après leurs découvertes aux éditeurs, dans un laps de temps qui n’est pas précisé. Le chiffre de 91% est donc à prendre avec toutes les précautions d’usage.
Idem pour les 9% restant, la NSA explique qu’il s’agit entre autres de vulnérabilités corrigées avant publication. Mais, ce pourcentage intègre aussi des zero day qui ne seront pas communiqués pour des raisons de sécurité nationale. Parmi ces failles qui ont été découvertes par la suite, on peut citer Stuxnet qui avait pour objectif de saboter le programme iranien de centrifugeuse nucléaire pour l’enrichissement de l’uranium.
Un marché nébuleux, mais actif
Derrière cette présentation se profile surtout le marché des failles critiques qui est en pleine ébullition. Un véritable écosystème s’est constitué autour de ce marché. En première ligne, il y a les chercheurs capables de trouver, dénicher un zero day. Ils sont de tous horizons, universitaires, salariés d’une grande entreprise, etc. Mais plusieurs sociétés se sont spécialisées dans ce domaine comme Vupen, Hacking Team (devenu médiatique à cause de son piratage) ou plus récemment Zerodium qui a versé 1 million de dollars à une équipe de hacker pour la découverte d’une brèche dans iOS 9.
Autour de ces chercheurs et ces sociétés gravitent les Etats, les cybercriminels et les éditeurs. Les Etats et la NSA en tête sont vite de devenus des acheteurs en puissance de failles zero day. Mais les cybercriminels ne sont pas en reste et proposent des sommes alléchantes pour récupérer des talents dans ce domaine. Enfin les éditeurs tentent de tirer leur épingle du jeu en multipliant les programmes de chasse aux bugs avec des primes de plus en plus élevées. Et ce marché n’est pas prêt de se tarir, à la dernière
A lire aussi :
Dix failles zero day dévoilées en septembre
Des failles zero day trouvées chez Kaspersky et FireEye
