Mot-clé - zero days

Fil des billets - Fil des commentaires

10avr.

Le marché des cyber-armes: un marché gris ?

Si le marché de la cyber défense est en plein boom, comme nous le soulignions dans un précédent article, celui-ci présente une spécificité indéniable. En effet, s'il est possible de s'armer de manière conventionnelle par des circuits classiques et relativement publics, le marché de la cyber-défense rend indispensable le recours à une forme de marché obscur et confidentiel, que nous qualifierons, sans parler de marché noir, de marché gris. Parler de marché gris, c'est tempérer le terme "noir", puisque ce marché n'est pas illicite. Par ailleurs, le terme "gris" marque une forme d'absence de contrôle par le fabricant original.

Pourquoi avoir recours à ce marché gris ?

La sphère cyber a ceci de spécifique qu'elle possède une portion dématérialisée, le logiciel, sur laquelle les attaques sont les plus aisées, et bien sûr les plus répandues. Dès lors, afin de mener une attaque il est le plus souvent nécessaire d'exploiter une vulnérabilité d'un système d'information. Ces vulnérabilités, aussi appelées "exploits", sont la ressource naturelle, le nerf de la cyber-guerre, serions-nous tentés d'écrire. Lorsque ces failles sont directement exploitables et inconnues du public (et donc de l'entité en charge de les résoudre, les "patcher" dans le jargon consacré), elles sont qualifiées de "zero days"[1].

Les "exploits" ne sont pas illicites. De nombreuses entreprises en font leur commerce. Un exploit peut se vendre jusqu'à 500.000$ s'il concerne un logiciel majeur (Internet Explorer de Microsoft par exemple). Aujourd’hui ce commerce se développe et se professionnalise: plus de la moitié des exploits sont vendus par des entreprises plutôt que par des hackers isolés[2] La France possède par exemple une entreprise dont c'est la spécialité, Vupen . Pour autant, une grande partie des transactions de ces "exploits" a lieu sur internet directement ou indirectement, notamment par le biais de certains forums. De par la nature du produit, l'origine de l'exploit, même vendu par une entreprise, n'est ainsi jamais garantie.

Forum Darkode.com

Profil d'un client

Avec des prix aussi élevés, le client type d'un exploit est rarement un cyber-criminel : il s'agit d'abord et surtout des services de renseignements disposant des fonds les plus importants. L'entrée sur le marché d'acteurs au poids financier important aurait multiplié par 5 le prix moyen d'un exploit depuis 2004[3]. Des critiques s'élèvent contre ce marché de cyber vulnérabilités, pour autant toute velléité de régulation est vouée à l'échec: par l'aspect international de ce marché, mais aussi à cause de la fine frontière entre simple recherche en cyber-sécurité et les applications offensives possibles.

La France, combien d'exploits?

Dans cette tribune des Échos, Eric Filiol, ancien officier français et spécialiste en cyber-sécurité, défend l'existence d'une compétence française dans le domaine. Il y écrit ainsi:

"Le maître mot de la guerre de demain ne sera pas : « la France, combien de divisions ? » mais « la France combien de vulnérabilités peut-elle exploiter ? ».

Il est satisfaisant de constater que la France possède certaines compétences dans le domaine.

Cependant à l'heure actuelle le développement de ce marché gris pose plusieurs problèmes. En premier lieu il y a le problème moral qui est proche de celui des armes conventionnelles, l'aspect insidieux en plus: ces vulnérabilités sont susceptibles de nuire à tous; leur prolifération est incontrôlable. Ensuite, ce marché entraîne une surenchère, pour nos propres gouvernements, des crédits consacrés à l'achat d'exploits. Exploits, qui, de par la nature du marché peuvent d'ailleurs être vendus à plusieurs acheteurs différents sous couvert d'une prétendue exclusivité.

Afin de résoudre ces problèmes il est nécessaire que la recherche de ces exploits se fasse au sein même des agences "cyber" des différents gouvernements. Pour autant, on sera toujours confronté à cette forme de pouvoir égalisateur du cyber: la découverte isolée d'exploits par n'importe quel amateur éclairé ne peut être empêchée. Le marché des cyber-armes est donc condamné entre noir et gris.

Notes

[1] Puis lorsqu'elles deviennent publiques, sont appelées successivement "one day", "two days" etc...

[2] selon Roy Lindorf, chercheur à la l'université de la défense hollandaise, cité par The Economist, March 30th 2013, The digital arms trade.

[3] ibid