Le business des Zéro days
Aujourd’hui, il n’est pas rare que des entreprises proposent les sommes énormes à des individus qui seront en mesure de découvrir des vulnérabilités dans leur système.
Dans la majorité des cas, on parlera de Zero day, des vulnérabilités particulières. On parle de vulnérabilité Zero day lorsque nous sommes en face d’une faille de sécurité que le fabricant n’a pas découvert lui-même lors de la mise en service de son outil informatique. Et cette faille « peut ensuite être exploitée avant que le fabriquant ne s’en rende compte et la corrige en urgence. Cette attaque est alors nommée attaque zero day » explique ainsi, la firme de cybersécurité Symantec. Selon elle : « Il n’existe quasiment aucune défense contre une attaque zero day ».
Cet article va aussi vous intéresser : L’équipe du Project Zero trouve des failles de sécurité dans MacOs
En pratique ces failles de sécurité sont assez rares. Cependant les attaques informatiques se fondant sur ces failles de sécurité ne manquent pas. Par exemple, par une étude sur des données collectées d’environ 11 millions d’usagers système d’exploitation Windows, la firme de cybersécurité Symantec a démontré que de 2008 à 2011, il y a eu 18 attaques qui furent menées en se fondant sur des vulnérabilité Zero day. En 2013, plus de 11 attaques informatiques ont eu lieu grâce à ces vulnérabilités selon la société de cybersécurité FireEyes.
En outre, il existe bel bien marché autour de Zero days. Ce marché peut être légal où illégal tout dépend de l’intention des personnes qui sont impliquées dans cette histoire. Sur le plan légal, il existe des entreprises qui sont spécialisés dans la mise en relation des pirates informatiques et des institutions concernées par ces failles Zero days. La plus célèbre n’est autre que la fameuse société américaine hackerOne fondée en 2012. Son rôle principal consiste à mettre en relation les pirates informatiques qui sont susceptibles de découvrir des vulnérabilités de type Zero day avec des entreprises. Poussant ainsi ces pirates informatiques à rester dans la légalité et ne pas divulguer ces failles de sécurité à des personnes qui pourraient les utiliser à mauvais escient. « Certains de nos clients ont des programmes de primes, d’autres non, mais ils utilisent tous notre plateforme pour mieux gérer et traiter ce qui leur arrive de la communauté hacker. Nous faisons cela pour aider les équipes d’intervention à avoir les meilleurs rapports possibles sur les failles. » affirmait, Katie Moussouris, directrice des affaires publiques pour HackerOne. Parmi ces clients HackerOne peut compter de grands noms tel que Dropbox, Airbnb, Snapchat et Twitter.
À l’instar de hackerOne, la firme de mise en relation Zerodium s’est aussi spécialisée dans ce genre de schéma. Contrairement à la première qui met en relation les hackers et les entreprises, Zerodium lui se contente de racheter les vulnérabilités découvertes par ces hackers pour les revendre aux États ou autres Structures prêtes à payer cher pour les avoir. Certains l’accusent même de commercer souvent avec des criminels.
Mais l’activité qui met le plus en valeur le commerce de Zero days se situe au niveau des fameuses Bug Bounty programs. Chaque année, les grands fournisseurs de services numériques proposent à la communauté de pirates informatiques de verser une compensation financière pouvant aller souvent jusqu’à des millions de dollars à ceux parmi eux qui réussissent à découvrir une vulnérabilité dans un système particulier. Le réseau social Facebook s’est d’ailleurs plusieurs fois vanté d’avoir versé dans le cadre de ce genre de programme décembre pouvant se lever à des millions de dollars. « La meilleure chose que nous avons faite [pour la sécurité de Facebook] est d’avoir mis en place un programme de primes depuis de nombreuses années », a souligné Sheryl Sandberg, directrice des opérations de Facebook.
Accédez maintenant à un nombre illimité de mot de passe :