On savait déjà que la NSA se livrait à une chasse continue pour les failles 0-day, des brèches exploitables alors qu'aucun correctif n'est disponible. Essentiellement silencieuse, l’activité a pourtant émergé aux yeux de tous un temps durant. Il a suffi que la Navy publie un marché sur un site accessible au public. Le document compromettant a été retiré depuis.
Le grand arsenal des failles de sécurité
Les failles 0-day, qui offrent la garantie d’une exploitation sans qu’une mise à jour quelconque soit disponible, font partie des armes préférées des pirates et des agences de renseignements. Par le piratage de Kaspersky avec une variante modernisée de Duqu, les premiers ont démontré qu’ils pouvaient mettre sur pieds un scénario entier d’attaque avec une seule faille. Quant au second, ce type d’activité a été exposé par les documents dérobés par Edward Snowden à la NSA.
Pour autant, le fait que le monde du renseignement cherche à passer sous silence une telle chasse aux failles 0-day n’a rien d’étonnant. Plus la NSA et les autres agences gardent le secret sur cet arsenal d’un nouveau genre, plus elles ont l’initiative en cas d’attaque. Car une faille 0-day peut permettre à des ingénieurs de se glisser dans les défenses et dans les réseaux d’une entreprise ou de n’importe quelle structure pour obtenir de précieuses informations.
Problème : l’efficacité d’une faille 0-day dépend directement de son secret. Si l’éditeur a vent de la brèche, il va la corriger et ses « bénéfices » en seront perdus. C’est précisément ce qui a poussé Snowden, de nombreux experts en sécurité, ainsi que des figures telles que Tim Berners-Lee, à accuser le monde du renseignement de détruire les fondations d’Internet. Car plus les failles sont accumulées sans correction, plus elles ont le pouvoir d’être utilisées à tort et à travers : la capacité d’en espionner quelques-uns devient alors plus importante que celle d’en protéger des millions.
L'US Navy lance une offre d'achat sur un site public
Et la Navy, peut-être par erreur, a publié une annonce qui indique très clairement ce qu’elle cherche. La marine américaine indiquait ainsi sur FedBizOppz.gov (un site permettant de faire appel à des prestataires extérieurs) qu’elle cherchait activement à acheter des failles 0-day ou N-day, c’est-à-dire dont la découverte date de moins de six mois. La Navy lançait donc un appel à des revendeurs, des prestataires, des éditeurs et globalement toutes les structures qui pourraient vendre de telles failles.
Pourquoi ? Parce que le gouvernent veut « accéder aux renseignements sur les vulnérabilités, rapports d’exploitations et binaires opérationnels d’exploitation affectant des logiciels commerciaux largement utilisés ». Microsoft, Google et Apple ne sont que quelques exemples des éditeurs visés, et il est clair que l’objectif est de pouvoir se glisser dans des réseaux et des appareils couramment utilisés pour obtenir, non pas directement les données souhaitées, mais au moins des informations sur les personnes susceptibles d’y accéder.
Une annonce supprimée dès son repérage par l'EFF
L’annonce a été repérée par Dave Maass, chercheur pour l’EFF (Electronic Frontier Foundation), qui en a tweeté une partie du contenu dans la foulée. L’attention générée a alors alerté la Navy, qui l'a rapidement supprimé. Bien entendu, et comme l’indique d’ailleurs la fondation, le fait que le gouvernement cherche des failles 0-day ou N-day n’est pas une nouveauté, mais l’utilisation d’un site classique d’annonces pour recruter en dit long sur les priorités de l’armée américaine et du gouvernement.
US Navy is shopping for 0days for commonly used software https://t.co/f8CWullTlK pic.twitter.com/ADqzPOP9ZA
— Dave Maass (@maassive) 11 Juin 2015
Le problème des failles 0-day est, pour rappel, qu’elles peuvent être utilisées par n’importe qui. Les rapports de failles pourraient donc être envoyés aux éditeurs respectifs pour que la sécurité générale augmente et que ces failles ne puissent plus nuire, dans un sens comme dans l’autre. En créant une réserve et en souhaitant militariser ces vulnérabilités, l’armée américaine prend le risque que d’autres stockent les mêmes failles et s’en servent contre des structures américaines. Rien ne peut garantir qu’une même brèche n’est pas gardée dans plusieurs réserves concurrentes en même temps.
Le processus trouble qui détermine le destin des failles
Selon l’EFF toutefois, le gouvernement ne choisit d’attaquer avec une faille de sécurité qu’en cas de nécessité, dans un scénario où une telle arme est requise. En fait, chaque faille transite par le Vulnerabilities Equities Process (VEP), qui doit statuer sur l’avenir d’une faille : la garder précieusement dans la réserve « militaire » ou en communiquer les détails à l’éditeur concerné. Malheureusement, l’ensemble du processus est classifié et le public ne peut donc pas savoir sur la base de quels critères la décision a été prise.
Mais la fondation souligne également que le monde du renseignement entretient une ambivalence réelle au sujet de ces failles. D’un côté, un porte-parole de la Maison Blanche, Michael Daniels, indique que le VEP permet de révéler la majorité des failles aux éditeurs selon un processus « responsable ». De l’autre, la Navy va jusqu’à publier une annonce aux yeux de tous pour acheter des failles 0-day et N-day. L’EFF a d’ailleurs déposé plainte il y aura bientôt un an pour obtenir la publication complète des détails du VEP, pour que le public sache comment de telles décisions sont prises. Une plainte qui faisait d’ailleurs suite à l’affaire Heartbleed et aux soupçons qui pesaient sur son utilisation par la NSA.