Les hackers sont friands de portes d’entrée dans les systèmes d’information. Rien de mieux pour cela qu’une faille informatique sans protection, appelée 0-days. Elles s’achètent en ligne comme on va au super marché. Il faut compter entre 500 $ et 40 000 $. C’est ce que présente Loïs Samain, consultant cybersécurité pour la société CEIS.
Le marché des 0-days a évolué durant l’année 2015, aussi bien d’un point législatif que d’un point technique.
Boutiques en ligne
On note tout d’abord que de nouvelles boutiques en ligne sont apparues dans le DarkNet. Certaines boutiques se sont spécialisées dans le commerce de produits à très haute valeur ajoutée, comme TheRealDeal (http://trdealmgn4uvm42g.onion) qui se focalise sur la vente de codes 0-day et d’exploits (code informatique capable d’utiliser une faille).
Les prix des 0-days se basent sur une règle du type « plus le nombre de vulnérabilités est faible, plus le prix augmente. » Pour une faille 0-day, les prix varient entre 500 $ et 40 000 $. Cette année, le record revient à Zerodium pour une faille iOS 9.1 et iOS 9.2b à 1 million de dollars.
Arrangement de Wassenaar
Au niveau de la législation, le marché des 0-days a aussi évolué en 2015. Le Bureau de l’Industrie et de la Sécurité américain (BIS Bureau of Industry and Security) a proposé une transposition dans la loi américaine de l’évolution de l’arrangement de Wassenaar de décembre 2013. Les Etats-Unis ont ajouté la recherche et l’exploitation de vulnérabilités 0-days aux logiciels d’intrusion et de communication dans cette nouvelle version de l’arrangement.
Une forte levée de boucliers de la communauté a poussé le BIS à réfléchir à une nouvelle transposition de l’arrangement de Wassenaar, bien que déjà plus de 30 états américains appliquent cette règle.
Chasseurs de prime
Le métier de Bug Bounty, chasseur de primes de découverte des failles, a aussi évolué dans sa professionnalisation. Outre de nombreuses plateformes telles que HackerOne, BugCrowd ou encore FireBounty, les primes pour la découverte d’une vulnérabilité ont considérablement augmenté et les sociétés sont de plus en plus hétérogènes.
Les récompenses se diversifient également, puisqu’elles vont jusqu’à proposer des Miles sur la compagnie aérienne United Airlines. Enfin, avec l’apparition de Zerodium, un nouveau modèle de grossiste est apparu, avec une tarification claire et des primes très élevées pour des demandes très précises.
Les agents de la cybersécurité se doivent d’être plus performant, en terme de recherche, que ceux de l’autre camp (ceux de la cyberattaque). Le système de prime pour la recherche des failles est déjà une bonne chose.
Au prix que l’on paie pour les failles de securite.C’est devenu un véritable business!
Bel article sur la sécurité face aux hackers pour compléter vos propos :
.bretagnetelecom.com/actualites/2016/02/securite-numerique-attaque-ddos-et-cybermenace-bretagne-telecom-protege-les