REFRESH(900 sec): http://www.lemonde.fr/pixels/article/2015/09/23/le-business-des-zero-da y-ces-failles-inconnues-des-fabricants-de-logiciel_4768638_4408996.html ?xtmc=cybersecurite&xtcr=22 #alternate alternate alternate Le Monde.fr : Pixels En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. Le Monde Télérama Le Monde diplomatique Le Huffington Post Courrier international La Vie S'abonner au Monde à partir de 1 € * Services Le Monde ▾ + Boutique Le Monde + Accueil + Hors-séries + Livres + DVD + CD + Unes du Monde + Loisirs & papeterie + Promotions + Partenaires Le Monde + Annonces auto + Annonces emploi + Annonces immo + Comparateur de banques + Comparateur de crédit + Cours d’anglais + Modèles de lettres + Prix de l’immobilier + Shopping Le Monde.fr * Édition globale * Édition afrique Rechercher : ____________________ rechercher Facebook Twitter Google+ Instagram Emploi Newsletters Affichez ici la météo de votre ville S'inscrire Connexion Le business des « zero day », ces failles inconnues des fabricants de logiciel Partager Tweeter * Accueil * International * Politique * Société * Éco * Culture * Idées * Planète * Sport * Sciences * Pixels * Campus * Le Mag * Édition Abonnés Pixels * Vie en ligne * Jeux vidéo * Banc d'essai * Cultures Web Zero Day Le business des « zero day », ces failles inconnues des fabricants de logiciel Un véritable marché s’est constitué autour de ces vulnérabilités qui n’ont pas été encore rendues publiques. Avec ses zones d’ombre. Le Monde | 23.09.2015 à 16h56 • Mis à jour le 25.09.2015 à 10h52 | Par Florian Reynaud Un million d’euros. C’est la somme qu’a promise, lundi 21 septembre, l’entreprise Zerodium à qui trouvera une faille informatique dans iOS 9, le nouveau logiciel qui équipe les iPhones. Zerodium est une nouvelle venue sur le marché de la sécurité informatique, mais pas une inconnue. Emanation de l’entreprise française Vupen, elle est spécialisée dans les failles dites « zero day », qu’elle achète à des hackers puis revend au plus offrant, le plus souvent de grandes agences de renseignement occidentales qui cherchent un moyen d’espionner leurs cibles – Vupen, puis Zerodium, ont affirmé ne pas travailler avec des régimes autoritaires. Qu’est-ce qu’une faille zero day ? La somme d’un million de dollars est sans précédent, mais montre bien la valeur de ce type de faille dans un monde surconnecté. Une vulnérabilité zero day est une faille logicielle qui n’a pas encore été découverte par le fabriquant. « Elle peut ensuite être exploitée avant que le fabriquant ne s’en rende compte et la corrige en urgence. Cette attaque est alors nommée attaque zero day », selon les termes de l’entreprise de sécurité Symantec. « Il n’existe quasiment aucune défense contre une attaque zero day », expliquaient deux chercheurs des laboratoires de l’entreprise dans une étude publiée en 2012. Lire aussi : Les logiciels espions sont-ils des armes ? Ces failles sont, par définition, très rares. En s’appuyant sur des données collectées sur 11 millions d’utilisateurs Windows entre 2008 et 2011, deux chercheurs de Symantec ont identifié 18 attaques utilisant des failles zero day. Dans son dernier livre blanc, l’entreprise spécialisée en sécurité informatique FireEye a listé 11 attaques informatiques de ce type découvertes durant l’année 2013. Plusieurs marchés se sont organisés autour des failles zero day, dont le mode de fonctionnement dépend souvent des intentions de celui qui les découvre. Le « marché gris » Il existe d’abord un marché gris des vulnérabilités. C’est celui que vise Zerodium avec sa promesse d’un million d’euros. Souvent, les clients ne sont plus des entreprises mais des criminels… et des gouvernements. En 2012, le magazine Forbes a par exemple interrogé un chercheur en sécurité informatique basé à Bangkok qui mettait en relation des hackers en possession de failles et des gouvernements. « Pour schématiser, vous les vendez comme un logiciel commercial. Il doit être bien présenté et accompagné de documentation », explique The Grugq, pseudonyme utilisé par cet intermédiaire. Il précise vendre essentiellement aux États-Unis, et affirme que divers marchés se sont constitués avec leurs avantages et leurs inconvénients. « La Russie est inondée de criminels. Ils monétisent les failles de la façon la plus brutale et médiocre qui soit, et ils se font des coups bas entre eux », affirme par exemple The Grugq. Quant au marché chinois, il ne rapporterait pas assez à cause d’une trop forte concurrence. Lire : Les pirates de l'iPhone, joyaux d'Apple Les États s’appuient en effet sur des vulnérabilités pour utiliser certaines solutions de surveillance, notamment dans le cadre de l’antiterrorisme. Le fabricant italien de logiciels espions Hacking Team, victime d’un piratage brutal au début de l’été, vendait ses solutions à plusieurs gouvernements, services de police et de renseignements, et utilisait un certain nombre de failles pour déployer ses outils. Lors de la publication par des pirates de centaines de milliers de mails volés à l’entreprise, plusieurs vulnérabilités ont été découvertes dans le logiciel Adobe Flash, très utilisé pour afficher des vidéos et animations sur le Net. Ces failles étaient exploitées par Hacking Team et ses clients pour infecter les ordinateurs ou les smartphones qu’ils souhaitaient espionner. Lire aussi : Facebook et Firefox s’en prennent à Adobe Flash après la découverte de nouvelles failles de sécurité A la suite du piratage d’Hacking Team, de nombreux emails publiés sur le Net ont donné un aperçu des achats de failles informatiques réalisés par l’entreprise. Hacking Team a acheté des vulnérabilités auprès de hackers, mais aussi d’entreprises spécialisées. Un hacker russe nommé Vitaliy Toropov a par exemple réussi à vendre une faille pour 45 000 dollars. Les chercheurs bons samaritains A l’inverse, certains spécialistes en sécurité informatique avertissent le concepteur du logiciel lorsqu’ils découvrent des failles afin qu’elles soient réparées. C’est notamment ce qu’ont fait cette année Charlie Miller et Chris Valasek, deux chercheurs qui travaillent depuis des années sur la sécurité des voitures connectées. Ils se sont illustrés il y a quelques semaines en piratant à distance une Jeep et en coupant son moteur. Ce coup de force a été réalisé à l’aide de plusieurs failles zero day, notamment dans le système de divertissement intégré à certains véhicules. Lire aussi : Deux chercheurs parviennent à pirater une voiture à distance Loin d’être malintentionnés, ils ont été en contact avec le constructeur pendant plus de neuf mois et ont gardé le secret sur les failles découvertes. Ce n’est qu’après la publication d’un correctif par le fabriquant, Fiat Chrysler, que les deux experts ont décidé de révéler leur enquête à la presse. Le détail des failles utilisées a ensuite été publié lors de la conférence de hackers Black Hat à Las Vegas, début août. Ce mode de fonctionnement, qui consiste à avertir l’entreprise en danger lorsqu’une faille est découverte avant d’en communiquer les détails au grand public, est très fréquent dans le monde de la sécurité informatique. Des programmes de récompense Enfin, les fournisseurs de logiciels, qui n’ont ni intérêt à laisser des failles sans correction ni à ce qu’elles atterrissent dans de mauvaises mains, peuvent aussi avoir une attitude proactive. Ainsi, de nombreuses entreprises proposent des « Bounty Programs », à savoir un système de prime pour tout personne signalant discrètement une vulnérabilité sérieuse et vérifiée. Facebook, par exemple, s’est vanté l’an dernier d’avoir payé des millions de dollars à des hackers. « La meilleure chose que nous avons faite [pour la sécurité de Facebook] est d’avoir mis en place un programme de primes depuis de nombreuses années », a indiqué Sheryl Sandberg, directrice des opérations de Facebook, dans un entretien au magazine Fortune en octobre. Ce système de récompense est aussi celui adopté par Zerodium, la différence étant qu’il n’agit pas pour son propre compte mais comme « grossiste » qui revendra, au prix fort, la faille à ses clients. La compagnie aérienne United Airlines propose elle aussi un programme de récompense avec des conditions très précises (disponibles en français). Deux hackers ont récemment reçu une récompense de près d’un million de « miles » de vols gratuits chacun pour avoir repéré d’importantes failles. De manière assez surprenante, le guide indique également qu’il est interdit d’agresser physiquement un employé d’United Airlines, d’une compagnie partenaire ou un client, pour découvrir une faille… Plusieurs « Bounty programs » comportent le même avertissement, comme ceux d’AT & T, GitHub, GoDaddy ou Riot Games. Inciter les hackers à collaborer Microsoft propose différents tarifs en fonction de la nature et de la dangerosité de la faille. A l’origine de ce programme, une chercheuse réputée en cybersécurité, Katie Moussouris. Elle a travaillé pendant sept ans chez Microsoft, où sa principale tâche était de trouver des moyens de collaborer avec la communauté des hackers. « J’ai commencé à creuser la piste des primes en 2010, et j’ai créé des modèles qui pouvaient être utilisés par Microsoft, notamment parce que c’est une vieille entreprise avec de nombreux produits différents et qu’on ne pouvait pas juste partir en se disant qu’on mettrait des primes pour tous les bugs. » Aujourd’hui, Katie Moussouris ne travaille plus pour Microsoft, mais est directrice des affaires publiques pour HackerOne. Fondée en 2012 par plusieurs experts en sécurité informatique, cette startup de San Francisco compte dans ses rangs des anciens de Symantec et de Facebook. Elle met en relation les entreprises et les hackers susceptibles de trouver des vulnérabilités. L’objectif d’HackerOne est d’encourager ceux qui découvrent des failles de sécurité à se diriger vers l’entreprise pour signaler leur trouvaille. En simplifiant ce processus, l’entreprise limite le risque d’attaques. Parmi ses clients, on trouve notamment Snapchat, Twitter, Yahoo, Dropbox et Airbnb. « Certains de nos clients ont des programmes de primes, d’autres non, mais ils utilisent tous notre plateforme pour mieux gérer et traiter ce qui leur arrive de la communauté hacker. Nous faisons cela pour aider les équipes d’intervention à avoir les meilleurs rapports possibles sur les failles. » HackerOne a également bâti un système de réputation pour les hackers. En clair, si un expert envoie plusieurs rapports de vulnérabilité avérés sur la plateforme, ses signalements pourront être traités en priorité par les entreprises. Les hackers les plus réputés sont également invités à participer à des programmes sur invitation. Puisque ces failles sont si précieuses, les entreprises ont tout intérêt à les trouver elles-mêmes. Certaines ont mis en place des modules internes pour traquer les failles. En juillet 2014, Google a lancé Project Zero, une équipe alors dirigée par le « monsieur sécurité » du navigateur Chrome, Chris Evans (qui est aujourd’hui consultant pour HackerOne). Des hackers et spécialistes en sécurité informatique ont pour tâche de traquer les vulnérabilités qui peuvent se cacher dans les produits de Google mais aussi d’autres services. Chaque faille découverte est alors notifiée à l’entreprise concernée, et signalée sur le blog de Project Zero une fois qu’elle a été réparée. L’équipe a notamment compté dans ses rangs le célèbre hacker George Hotz, connu pour avoir piraté l’iPhone et la Playstation 3. * Florian Reynaud Journaliste au Monde Sur le même sujet * Arrestation de membres présumés d’un groupe de maîtres-chanteurs du Web * L’affaire des courriels rattrape une nouvelle fois Hillary Clinton * Le conseiller pour la technologie de Barack Obama a été piraté Édition abonnés Contenu exclusif * Menaces tous azimuts sur le big data * L’argent, principale cible du cybercrime * Guillaume Poupard : « Une attaque majeure tous les 15 jours en France » Abonnez-vous à partir de 1 € Internet Actu ▪ e-sport ▪ Loi sur le renseignement ▪ The surveillance files ▪ Censure du Net ▪ Hits Playtime ▪ Piratage de Sony Pictures ▪ Yahoo! ▪ Cultures Web ▪ Sécurité informatique Le monde abonnements Profitez du journal où et quand vous voulez. Abonnements papier, offres 100 % numériques sur Web et tablette. S'abonner au Monde à partir de 1 € Déjà abonné au journal Le Monde ? * Activez votre accès à l'Édition abonnés du Monde.fr * Gérez votre abonnement Les rubriques du Monde.fr International ▪ Politique ▪ Société ▪ Économie ▪ Culture ▪ Sport ▪ Techno ▪ Style ▪ Vous ▪ Idées ▪ Planète ▪ Éducation ▪ Disparitions ▪ Santé ▪ Monde Académie Les services du Monde La boutique du Monde ▪ Le Monde dans les hôtels ▪ Cours d'anglais ▪ Annonces auto ▪ Annonces immo ▪ Shopping ▪ Comparateur crédit ▪ Conjugaison ▪ Programme télé ▪ Jeux ▪ Météo ▪ Trafic ▪ Prix de l'immobilier ▪ Source Sûre ▪ Carte des départements Données du Monde Alsace-Champagne-Ardenne-Lorraine ▪ Haute-Loire ▪ Beauvois ▪ Tréville ▪ Dry ▪ Verjon ▪ Roches-sur-Marne ▪ Lussan-Adeilhac ▪ Mérinville ▪ Bayenghem-lès-Eperlecques Les sites du Groupe Télérama.fr ▪ Talents.fr ▪ Le Huffington Post ▪ CourrierInternational.com ▪ Monde-Diplomatique.fr ▪ Les Rencontres professionnelles Le Monde ▪ La Société des lecteurs du Monde ▪ Le Prix Le Monde de la recherche Sur le web * › Bars à Paris * › Sélection de livres * › Coffret dvd * › Théâtres à Paris * › Télévision * › Le programme télévision * › Actu littéraire * › Programme TV de Arte en replay * › Concerts à Paris * › L'actu des médias Recettes Recette pot au feu ▪ Recette pate a crepe ▪ Sauce bechamel Modèle de lettre Suivez-nous Facebook Twitter Google+ Instagram Mobile RSS Recevez nos newsletters Index actualité : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z © Le Monde.fr | Fréquentation certifiée par l'OJD | CGV | Données personnelles | Mentions légales | Qui sommes-nous ? | Charte groupe | Publicité | Aide (FAQ) : web - abo - journal - mobile Journal d'information en ligne, Le Monde.fr offre à ses visiteurs un panorama complet de l'actualité. Découvrez chaque jour toute l'info en direct (de la politique à l'économie en passant par le sport et la météo) sur Le Monde.fr, le site de news leader de la presse française en ligne. En Continu