Bienvenue sur le blog Vers et Virus

Charlie Miller a récemment publié une étude décrivant les rouages liés à la vente légale de vulnérabilités (The Legitimate Vulnerability Market: Inside the Secretive World of 0-day Exploit Sales). Il y explique la difficulté à trouver un bon interlocuteur, à négocier un prix raisonnable, à prouver la validité de la vulnérabilité, et à conclure l'affaire sans qu’aucune des parties ne se sente lésée. Beaucoup de chercheurs qui se sont frottés au problème choisissent la diffusion publique (donc la renommée) plutôt que de la fortune.

La principale motivation qui pousse un individu à la vente de vulnérabilité est – bien entendu - une motivation financière. Les primes vont de quelques centaines de dollars, pour Mozilla, à plusieurs milliers de dollars s’il s’agit de Verisign iDefence, 3com TippingPoint, Digital Armaments, et plus récemment Netragard’s Snosoft. Plus surprenant, des sommes faramineuses sont parfois proposées par des agences gouvernementales ou des sociétés privées en contact avec elles.

Quel est donc l’intérêt d’acheter une vulnérabilité dite « 0-day » ?  Il est facile de comprendre que les organismes de recherche qui ont créé ces programmes de primes souhaitent protéger leurs clients, partager l’information avec eux, l’utiliser à des fins de marketing et, nous l’espérons, informer le fournisseur mis en cause pour qu’il solutionne le problème.
La réponse est plus incertaine lorsqu’il s’agit d’organismes gouvernementaux ou privés. Ils n’ont pas de clients et ne recherchent pas la notoriété. Il n’est donc pas interdit d’imaginer qu’ils souhaitent eux même utiliser ces failles inconnues ou les refiler à d’autres entités préférant rester dans l’ombre. Alors que tout le monde parle de cyber-guerre et que certains services d’État cherchent des collaborations en ce domaine (voir ici et là), il n’est pas inimaginable de penser que des gouvernements veuillent acheter des exploits « zero-day » pour éliminer la menace ou l’utiliser selon leurs propres besoins.