Les failles de sécurité aux enchères

Dans le Journal du Net : 

La monétisation contribue-t-elle à améliorer la sécurité ? Une société suisse répond oui et inaugure un service d'enchère pour l'achat de failles. Intention annoncée : rémunérer les chercheurs.

Elle n'est pas passée inaperçue l'annonce faite par une jeune pousse helvétique : WabiSabiLabi, a prononcer wobby-sobby-lobby. Société fondée grâce à 5 millions d'euros de capitaux privés - avec l'espoir d'une entrée en bourse dans 18 mois -, elle a inauguré une place de marché de vulnérabilités. Un pas de plus donc vers la monétisation, après les programmes d'achats de failles 0-Day de Tipping Point et iDefense.

Le mode de fonctionnement de WabiSabiLabi n'est pas bien différent de celui du spécialiste des enchères sur Internet : eBay. C'est ainsi la confrontation de l'offre - majoritairement des chercheurs en sécurité - et de la demande. Sa motivation ? Offrir aux chercheurs la possibilité d'obtenir une rémunération honorable pour leurs découvertes et ne plus avoir à les livrer gratuitement, ou à devoir les vendre à des cybercriminels.

OAS_AD('x06'); Cette initiative en faveur de la sécurité est-elle à saluer ? Les réponses sont loin d'être unanimes et le sentiment général semble plus pencher du côté du scepticisme. Pour Pascal Lointier, expert en sécurité et président du Clusif, les dérives présentées par ce système d'enchère sont évidentes.

"Ce ne me semble pas être une initiative saine et ce pour plusieurs raisons. D'abord, à cause des risques de voir ces failles tomber entre de mauvaises mains. On ignore pour quel motif un individu ou une société peut décider d'enchérir pour acquérir une vulnérabilité. Même si la société assure qu'elle vérifiera l'identité de l'acheteur, rien n'interdit à un tiers de recourir à un prête nom ou à une société écran".

"Il suffit d'ailleurs de regarder sur eBay les différents procédés de fraudes employés. Les sociétés fantômes, cela n'a rien de nouveau. Et ces acheteurs pourraient ne pas être uniquement de possibles cybercriminels, mais peut-être aussi des gouvernements afin d'en user pour de l'espionnage", poursuit-il.

En dépit d'un contrôle d'identité des acheteurs, rien n'atteste en effet que la vulnérabilité ainsi acquise ne sera pas dans un second temps exploitée à des fins malveillantes. En outre, la découverte d'une faille par un individu n'exclut en aucune façon qu'elle ne soit de nouveau décelée par une ou plusieurs autres personnes.

"Un éditeur qui achèterait une faille pour l'empêcher d'être rendue publique ne serait pas plus protégé contre l'exploitation de cette dernière. Il est faux de croire qu'une diffusion plus importante des failles contribuera à améliorer la sécurité. Les applicatifs évoluent sans cesse, avec potentiellement de nouvelles vulnérabilités", rappelle Pascal Lointier.

Si un doute persiste sur l'identité réelle et la motivation de l'acheteur, rien n'atteste non plus qu'un individu se définissant comme un chercheur ne cède sa découverte à plusieurs parties, dont des filières criminelles. Exception faite de ces risques, une place de marché de vulnérabilité peut à priori représenter une opportunité de rémunération pour des chercheurs qui bien souvent ne sont ni rétribués, ni crédités par les éditeurs.

A la condition cependant que les sommes versées à l'achat soient suffisamment incitatives pour convaincre les découvreurs de livrer leur travail sur WabiSabiLabi plutôt qu'à des groupes criminels. Sur les marchés noirs, des failles peuvent en effet se monnayer contre des sommes faramineuses. L'expert américain H.D Moore avait ainsi refusé une offre d'environ 100 000 dollars en échange d'informations concernant une vulnérabilité d'Internet Explorer.

Contrairement aux programmes de Tipping Point, iDefense ou Immunity, qui leur servent ensuite à fournir des solutions de sécurité à leurs clients, WabiSabiLabi n'informera pas les éditeurs de l'existence d'une faille dans leurs applications. En outre, les données des failles mises en ligne sur le site à l'intention des acheteurs semblent suffisamment détaillées pour permettre à un tiers de la retrouver. Deux vulnérabilités en enchère, sur Squirrelmail et MKPortal, ont ainsi pu être identifiées.