10avr. 2013

Le marché des cyber-armes: un marché gris ?

Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un précédent article, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.

Pourquoi avoir recours à ce marché gris ?

La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, le nerf de la cyber-guerre, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"[1].

Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés[2] La France possède par exemple une entreprise dont c'est la spécialité, Vupen . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.

Forum Darkode.com

Profil d'un client

Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel : il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004[3]. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.

La France, combien d'exploits?

Dans cette tribune des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:

"Le maître mot de la guerre de demain ne sera pas : « la France, combien de divisions ? » mais « la France combien de vulnérabilités peut-elle exploiter ? ».

Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.

Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.

Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de pouvoir égalisateur du cyber: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.

Notes

[1] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...

[2] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par The Economist, March 30th 2013, The digital arms trade.

[3] ibid

24mai 2012

La cyberdéfense, un marché en plein boom?

cyberboomHabituellement -et comme le fiasco de l'introduction en bourse de Facebook le démontre, il faut se méfier des annonces tonitruantes concernant l'économie numérique. Pour autant, dans la foulée de l'essor que la cyberdéfense connaît aux Etats-Unis, le marché semble bouger. Différentes estimations l'évaluent à une cinquantaine de milliards de dollars, avec un taux de croissance à deux chiffres[1]. Dans un contexte économique déprimant, ces perspectives apparaissent rafraîchissantes. Le marché de la cyberdéfense, vraie opportunité ou trompe-l’œil ?

Note

[1] Une étude assez complète de l'état du marché et de ses perspectives est disponible en anglais ici par un célèbre cabinet de consultants.

Lire la suite...