Pour gérer vos consentements :

La politique biaisée de divulgation des zero day de la NSA

Avec les documents d’Edward Snowden et les différentes accusations d’utiliser des failles critiques pour mener à bien des opérations souterraines, les agences américaines de renseignement obligent le gouvernement à montrer un peu de transparence. C’est ce qui vient de se produire avec une infographie de la NSA (Nation Security Agency) censée démontrer sa politique de divulgation de failles zero day.

Le chiffre est annoncé en gros pour qu’il imprègne bien le cerveau : 91%. La NSA partage donc une majorité des vulnérabilités critiques découvertes avec les éditeurs pour les corriger. Cette version est selon Reuters qu’une partie émergée de l’iceberg. En effet, l’infographie ne dit pas quand ces découvertes sont partagées. Or selon d’anciens responsables du gouvernement américain, l’agence de sécurité utilise en général ces zero day achetées à l’extérieur pour mener ses propres opérations offensives et ne communique qu’après leurs découvertes aux éditeurs, dans un laps de temps qui n’est pas précisé. Le chiffre de 91% est donc à prendre avec toutes les précautions d’usage.

Idem pour les 9% restant, la NSA explique qu’il s’agit entre autres de vulnérabilités corrigées avant publication. Mais, ce pourcentage intègre aussi des zero day qui ne seront pas communiqués pour des raisons de sécurité nationale. Parmi ces failles qui ont été découvertes par la suite, on peut citer Stuxnet qui avait pour objectif de saboter le programme iranien de centrifugeuse nucléaire pour l’enrichissement de l’uranium.

Un marché nébuleux, mais actif

Derrière cette présentation se profile surtout le marché des failles critiques qui est en pleine ébullition. Un véritable écosystème s’est constitué autour de ce marché. En première ligne, il y a les chercheurs capables de trouver, dénicher un zero day. Ils sont de tous horizons, universitaires, salariés d’une grande entreprise, etc. Mais plusieurs sociétés se sont spécialisées dans ce domaine comme Vupen, Hacking Team (devenu médiatique à cause de son piratage) ou plus récemment Zerodium qui a versé 1 million de dollars à une équipe de hacker pour la découverte d’une brèche dans iOS 9.

Autour de ces chercheurs et ces sociétés gravitent les Etats, les cybercriminels et les éditeurs. Les Etats et la NSA en tête sont vite de devenus des acheteurs en puissance de failles zero day. Mais les cybercriminels ne sont pas en reste et proposent des sommes alléchantes pour récupérer des talents dans ce domaine. Enfin les éditeurs tentent de tirer leur épingle du jeu en multipliant les programmes de chasse aux bugs avec des primes de plus en plus élevées. Et ce marché n’est pas prêt de se tarir, à la dernière

A lire aussi :

Dix failles zero day dévoilées en septembre

Des failles zero day trouvées chez Kaspersky et FireEye

Crédit Photo : Batofolux-Shutterstock

Recent Posts

Legapass : comment protéger ses données privées jusque dans l’au-delà

Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…

13 heures ago

Iris, un assistant d’IA conversationnelle en langue des signes

Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…

17 heures ago

GenAI : le Royaume-Uni poursuit ses investigations sur les partenariats de Microsoft et Amazon

L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…

2 jours ago

Clients de VMware : les raisons de la colère

Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…

2 jours ago

Laurent Carlier – BNP Paribas Global Market : « L’IA permet de modéliser des relations plus complexes, mais il faut rester prudent »

La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…

2 jours ago

Open Compute Project : les datacenters partagent des bonnes pratiques pour l’environnement

OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…

3 jours ago