Failles de sécurité / vulnérabilités informatique : un marché très lucratif
Le financement de la recherche des failles de sécurité existe depuis un certain moment.
Cela fait sens dans un monde qui devient de plus en plus informatisé. Il existe aujourd’hui un très vaste marché permettant à un spécialiste de s’adonner typiquement à cette activité et d’être rémunéré en échange. Il y a même des grandes entreprises qui se sont spécialisées dans ce domaine à savoir HackerOne, Zerodium, YesWeHack…
Cet article va aussi vous intéresser : 5 types de failles de sécurité à prendre très au sérieux
Par exemple, la société Zerodium propose des récompenses de plus de 2 millions de dollars pour tout chercheur en sécurité informatique qui arrive à trouver des failles de sécurité de type 0 Day ou 0 clic. En d’autres termes, la découverte de failles de sécurité permettant de réaliser des attaques fulgurantes, sans aucune possibilité de défense, qui n’ont pas encore été connues par les constructeurs eux-mêmes peut rapporter une véritable fortune. C’est pour cela que le secteur devient de plus en plus professionnel.
L’intérêt majeur de cette activité en tant que soutien de la sécurité informatique réside dans le fait que l’exploitation des failles de sécurité généralement les 0 Day cause énormément de dégâts et peuvent avoir des conséquences plus lourdes qu’on ne peut l’imaginer.
L’intérêt est donc double dans ce domaine : D’un côté ceux qui veulent connaître ses vulnérabilités pour les corriger afin d’éviter que leurs outils informatiques soient vulnérables donc peu recommandable, et de l’autre côté ceux qui veulent obtenir ses vulnérabilités dans le but de les exploiter à différents des objectifs, qu’il soit malveillant ou même légitime. Car aujourd’hui tout le monde peut acheter des vulnérabilités. Que ce soit cyber malveillants pour réaliser des actions de piratage informatique, ou des autorités gouvernementales dans le but d’initier la surveillance ou réaliser des investigations susceptibles d’aider à l’arrestation de malveillants. C’est justement cet aspect qui est mis en évidence par la société Zerodium sur son site Internet : « nos clients sont des institutions gouvernementales (principalement d’Europe et d’Amérique du Nord) qui ont besoin d’exploits zero-day avancés et de capacités de cybersécurité ».
« Ces offensives peuvent être un moyen de récupérer des informations secrètes sur des projets industriels, économiques ou politiques. Elles permettent au responsable de se dissimuler et de rendre difficile l’identification de l’origine de l’attaque, ce qui les rend particulièrement dangereuses », explique Hervé Debar, chercheur en cybersécurité à Telecom Sud Paris.
Aux États-Unis, la commercialisation des failles de sécurité est encadrée de manière peu transparente. Peut-être parce que l’État américain est lui-même un grand utilisateur et exploitant des vulnérabilités informatiques. On rappelle par exemple l’attaque informatique qui a été dirigée contre les installations nucléaires iraniennes, en 2010 avec la collaboration des Israéliens. Selon les observateurs, cette cyberattaque était basée sur l’exploitation de failles de sécurité dans le but de d’introduire le ver responsable de sabotage Stuxnet.
Contrairement à HackerOne qui cherche les vulnérabilités pour ensuite les soumettre aux entreprises concernées en échange d’une rémunération, Zerodium fait partie de ces entreprises qui cherchent et collectent des vulnérabilités pour les vendre au plus offrants. Leur intérêt ne réside pas dans la correction des failles de sécurité, mais plutôt dans la possibilité de les exploiter. Contrairement aux entreprises tel que HackerOne. On rappelle, en 2012, dans un entretien accordé au magazine Forbes, Chaouki Bekrar, le directeur de Zerodium, alors appelé Vupen Security déclarait : « Nous ne partagerions pas cette faille avec Google, même pour un million de dollars (parlant d’une vulnérabilité découverte sur Google Chrome) Nous ne voulons pas leur transmettre de quoi les aider à corriger cet exploit ou d’autres exploits similaires. Nous voulons garder cela pour nos clients. ». Aujourd’hui on compte parmi les clients de la société Zerodium des institutions assez importantes telles que des États comme l’Angleterre, les États-Unis, l’Allemagne. Mais aussi les entreprises dont le célébrissime NSO group, l’entreprise responsable du célèbre logiciel espion « Pegasus ».
Le géant américain du numérique Google a aussi son équipe de chercheurs de vulnérabilités 0 day. Cette équipe est reconnue comme étant l’une des meilleures au monde est connue sous l’appellation du « Project Zero ». Selon cette dernière, c’est au moins : « au moins 66 vulnérabilités zero-day ont été découvertes en 2021, soit près du double de celles découvertes en 2020 et plus que pour toute autre année enregistrée ».
Selon le MIT, (Massachusetts Institute of Technology). « Cette recrudescence de failles zero-day peut s’expliquer par le fait que tous les groupes [malveillants] dépensent un tas d’argent dans des failles zero-day qu’ils utilisent pour eux-mêmes et ils en récoltent les fruits ».
Accédez maintenant à un nombre illimité de mot de passe :