Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Quand l'US Navy publie une annonce pour acheter des failles 0-day

Oups
Internet 4 min
Quand l'US Navy publie une annonce pour acheter des failles 0-day
Crédits : iStock/ThinkStock

On savait déjà que la NSA se livrait à une chasse continue pour les failles 0-day, des brèches exploitables alors qu'aucun correctif n'est disponible. Essentiellement silencieuse, l’activité a pourtant émergé aux yeux de tous un temps durant. Il a suffi que la Navy publie un marché sur un site accessible au public. Le document compromettant a été retiré depuis. 

Le grand arsenal des failles de sécurité

Les failles 0-day, qui offrent la garantie d’une exploitation sans qu’une mise à jour quelconque soit disponible, font partie des armes préférées des pirates et des agences de renseignements. Par le piratage de Kaspersky avec une variante modernisée de Duqu, les premiers ont démontré qu’ils pouvaient mettre sur pieds un scénario entier d’attaque avec une seule faille. Quant au second, ce type d’activité a été exposé par les documents dérobés par Edward Snowden à la NSA.

Pour autant, le fait que le monde du renseignement cherche à passer sous silence une telle chasse aux failles 0-day n’a rien d’étonnant. Plus la NSA et les autres agences gardent le secret sur cet arsenal d’un nouveau genre, plus elles ont l’initiative en cas d’attaque. Car une faille 0-day peut permettre à des ingénieurs de se glisser dans les défenses et dans les réseaux d’une entreprise ou de n’importe quelle structure pour obtenir de précieuses informations.

Problème : l’efficacité d’une faille 0-day dépend directement de son secret. Si l’éditeur a vent de la brèche, il va la corriger et ses « bénéfices » en seront perdus. C’est précisément ce qui a poussé Snowden, de nombreux experts en sécurité, ainsi que des figures telles que Tim Berners-Lee, à accuser le monde du renseignement de détruire les fondations d’Internet. Car plus les failles sont accumulées sans correction, plus elles ont le pouvoir d’être utilisées à tort et à travers : la capacité d’en espionner quelques-uns devient alors plus importante que celle d’en protéger des millions.

L'US Navy lance une offre d'achat sur un site public

Et la Navy, peut-être par erreur, a publié une annonce qui indique très clairement ce qu’elle cherche. La marine américaine indiquait ainsi sur FedBizOppz.gov (un site permettant de faire appel à des prestataires extérieurs) qu’elle cherchait activement à acheter des failles 0-day ou N-day, c’est-à-dire dont la découverte date de moins de six mois. La Navy lançait donc un appel à des revendeurs, des prestataires, des éditeurs et globalement toutes les structures qui pourraient vendre de telles failles.

Pourquoi ? Parce que le gouvernent veut « accéder aux renseignements sur les vulnérabilités, rapports d’exploitations et binaires opérationnels d’exploitation affectant des logiciels commerciaux largement utilisés ». Microsoft, Google et Apple ne sont que quelques exemples des éditeurs visés, et il est clair que l’objectif est de pouvoir se glisser dans des réseaux et des appareils couramment utilisés pour obtenir, non pas directement les données souhaitées, mais au moins des informations sur les personnes susceptibles d’y accéder.

Une annonce supprimée dès son repérage par l'EFF

L’annonce a été repérée par Dave Maass, chercheur pour l’EFF (Electronic Frontier Foundation), qui en a tweeté une partie du contenu dans la foulée. L’attention générée a alors alerté la Navy, qui l'a rapidement supprimé. Bien entendu, et comme l’indique d’ailleurs la fondation, le fait que le gouvernement cherche des failles 0-day ou N-day n’est pas une nouveauté, mais l’utilisation d’un site classique d’annonces pour recruter en dit long sur les priorités de l’armée américaine et du gouvernement.

Le problème des failles 0-day est, pour rappel, qu’elles peuvent être utilisées par n’importe qui. Les rapports de failles pourraient donc être envoyés aux éditeurs respectifs pour que la sécurité générale augmente et que ces failles ne puissent plus nuire, dans un sens comme dans l’autre. En créant une réserve et en souhaitant militariser ces vulnérabilités, l’armée américaine prend le risque que d’autres stockent les mêmes failles et s’en servent contre des structures américaines. Rien ne peut garantir qu’une même brèche n’est pas gardée dans plusieurs réserves concurrentes en même temps.

Le processus trouble qui détermine le destin des failles

Selon l’EFF toutefois, le gouvernement ne choisit d’attaquer avec une faille de sécurité qu’en cas de nécessité, dans un scénario où une telle arme est requise. En fait, chaque faille transite par le Vulnerabilities Equities Process (VEP), qui doit statuer sur l’avenir d’une faille : la garder précieusement dans la réserve « militaire » ou en communiquer les détails à l’éditeur concerné. Malheureusement, l’ensemble du processus est classifié et le public ne peut donc pas savoir sur la base de quels critères la décision a été prise.

Mais la fondation souligne également que le monde du renseignement entretient une ambivalence réelle au sujet de ces failles. D’un côté, un porte-parole de la Maison Blanche, Michael Daniels, indique que le VEP permet de révéler la majorité des failles aux éditeurs selon un processus « responsable ». De l’autre, la Navy va jusqu’à publier une annonce aux yeux de tous pour acheter des failles 0-day et N-day. L’EFF a d’ailleurs déposé plainte il y aura bientôt un an pour obtenir la publication complète des détails du VEP, pour que le public sache comment de telles décisions sont prises. Une plainte qui faisait d’ailleurs suite à l’affaire Heartbleed et aux soupçons qui pesaient sur son utilisation par la NSA.

42 commentaires
Avatar de otto INpactien
Avatar de ottootto- 15/06/15 à 09:32:00

:roll: décidément on ne s’embarrasse pas chez l'oncle sam....

Avatar de WereWindle INpactien
Avatar de WereWindleWereWindle- 15/06/15 à 09:36:44

In the navy
Yes, you can sail the seven seas
In the navy
Yes, you can put your mind at ease
In the navy
Come on now, people, make a stand
In the navy, in the navy
Can't you see we need a hand
In the navy
Come on, protect the mother land
In the navy
Come on and join your fellow man
In the navy
Come on people, and make a stand
In the navy, in the navy, in the navy (in the navy)
:chant:

otto a écrit :

:roll: décidément on ne s’embarrasse pas chez l'oncle sam....

Ils sont pas spécialement connus pour leur finesse mais là c'est carrément bourrin :transpi:

Édité par WereWindle le 15/06/2015 à 09:37
Avatar de taralafifi INpactien
Avatar de taralafifitaralafifi- 15/06/15 à 09:40:19

Ca peut se négocier combien une faille 0-Day ?

Avatar de Cwoissant INpactien
Avatar de CwoissantCwoissant- 15/06/15 à 09:47:34

 Ça dépends totalement du logiciel/site/protocole concerné par la faille, mais selon un article de forbes il y a quelques mois/années je crois que ça se négociait aux alentours de 5000/7000 dollars. Parfois énormément plus pour les failles critiques sur des logiciels très utilisés.

Avatar de DaGinfinity INpactien
Avatar de DaGinfinityDaGinfinity- 15/06/15 à 09:50:27

ou comment être fiché de sa propre volonté. 

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 15/06/15 à 09:51:08

JH, 23 ans marin, cherche JF (jeune faille) pour relation torride. Faille sérieuse uniquement, contact à 0day@usn.mil. Kiss.

Avatar de kikoo26 Abonné
Avatar de kikoo26kikoo26- 15/06/15 à 09:52:43

taralafifi a écrit :

Ca peut se négocier combien une faille 0-Day ?

Une fois j'avais entendu parler de prix très variables allant de la centaine d'euros aux dizaines de milliers d'euros en fonction de nombreux critères (logiciel atteint, possibilités obtenues, facilité d'exploitation, etc.)

Avatar de Lyaume Abonné
Avatar de LyaumeLyaume- 15/06/15 à 09:56:01

C'est pas si cher que ça finalement.
Ce qui parait étonnant c'est que la demande doit être énorme pour une faille 0-day (genre tout les gouvernements +  personnes mal intentionnées), du coup le prix doit s'envoler puisque l'offre ne doit pas être si grande (enfin espérons!).

Et puis rien d'étonnant dans cet article, pas mal de gouvernement doivent le faire, mis à part le moyen utilisé pour la demande qui lui laisse à désirer...
Le mec a du valider et a ensuite dit : OUPS!

Avatar de t0FF INpactien
Avatar de t0FFt0FF- 15/06/15 à 09:58:11

Même si il y a de la demande, le vendeur doit vendre la faille avant qu'une autre personne la découvre. Ca empêche de trop faire monter les prix ! 

Avatar de Vincent_H Équipe
Avatar de Vincent_HVincent_H- 15/06/15 à 09:58:12

D'où le sous-titre :D

Il n'est plus possible de commenter cette actualité.
Page 1 / 5