mercredi 29 mars 2017    || Inscription
BanniereDossier
 
 

La recherche des failles de sécurité a toujours représenté l’alpha et l’omega des chercheurs en sécurité. Ces failles – une fois trouvées – se vendent, et fort cher, jusqu’à un million de dollars. Un nouveau métier apparaît : celui du broker de failles de sécurité.  Le phénomène « Bug Bounty » créé en 1995 prend  une autre envergure.

L’informatique a permis durant des dizaines d’années de résoudre des problèmes insolubles, comme envoyer des navettes et des hommes dans l’espace. On a cherché à concevoir des langages informatiques robustes, avec des règles et des contrôles stricts pour conserver la maîtrise des programmes. C’était l’époque des programmes lunaires Apollo et du langage informatique Ada, conçu par une équipe française. Puis, on a voulu introduire de la souplesse et accroître les possibilités de programmation : le C, le C++, moins contraignants, plus souples, et maintenant les méthodes DevOps, avec des logiques de moins en moins structurées, plus itératives et, finalement aussi de plus en plus empiriques, mais rapides. Et plus « agiles ». En parallèle, la profession a essayé de concevoir les règles de bonnes pratiques de la programmation, comme
l’OWASP avec son TOP 10, suivi de trop nombreuses autres règles. Une normalisation du développement de code a suivi avec la série des normes ISO 27034-x toujours inaboutie après de très nombreuses années de discussions.

A côté, existent des techniques pour « stresser » les codes informatiques et trouver leurs contradictions, comme le fuzzing. On envoie des données « bizarres » en masse dans des applications pour mettre en évidence des comportements anormaux et trouver des failles.

Le « time to market » l’emporte sur  « la belle ouvrage »

Les systèmes experts brassant les bonnes pratiques ont ensuite pris le pas pour rechercher les fautes de programmation. Fortify (aujourd’hui acheté par HP) ou Checkmarx proposent des analyses complexes des codes sources. FindBugs et CheckStyle analysent pour leur part les codes Java. On trouve encore les analyseurs de codes sources PMD ou Lint, ou encore SonarQube qui analyse la qualité des codes produits par une vingtaine de langages de programmation. Les fautes de programmation sont mises en évidence pour « éduquer » les maudits développeurs qui n’ont aucune orthographe informatique. De son côté, Veracode propose une démarche voisine en inspectant le code exécutable (le binaire) et non le code source. Ces familles, cousins, cousines, procèdent de la même manière. Les langages informatiques sont trop permissifs, alors il faut chasser les mauvaises pratiques. Mais les langages de développement restent toujours plus laxistes pour accélérer l’écriture des codes. Le « time to market » avec des solutions mal écrites l’emporte sur la « belle ouvrage » pensée avec des langages structurés et contrôlés. C’est notamment la philosophie du concept « Dev Ops « (cf. dossier p. 20).

Le contexte n’a pas changé, et la situation a même empiré : agilité et rapidité l’emporte sur toute approche de maîtrise. Produire du code plus vite, encore plus vite, même imparfait… Il existe des dollars à prendre pour peu. On fait, on laisse tomber et on recommence…

Mais une analyse géopolitique de la valeur de l’information peut conduire à une conclusion totalement inverse. Les systèmes d’information ont pris une telle importance dans les échanges et l’équilibre de nos sociétés qu’ils sont désormais incontournables. Intercepter, analyser et prendre des décisions stratégiques à partir d’informations acquises sans le consentement de leurs auteurs prend de l’importance.

Prendre le contrôle d’un iPhone pour un million de dollars

La question n’est plus l’erreur de programmation, mais celle de la valeur de l’information que l’on peut obtenir suite à cette maladresse. L’IT alimente le monde du renseignement. Le psychodrame entre le FBI, la NSA et les GAFA avec Apple qui défend ses dollars pour ne pas livrer ses codes est affaire de convictions, mais aussi de marché. Les services de renseignements savent lire les informations, la question n’est que celle de la manière avec laquelle ils doivent travailler avec les GAFA en tout bien tout honneur et avec des dollars. Sommes-nous en face d’outils civils d’analyse de codes, ou de produits militaires pour faciliter l’espionnage ? Les deux sont possibles, tout dépend de la finalité de la recherche. Il s’agit donc de technologies duales, civiles et militaires, qui sont régies par l’arrangement de Wassennaar du 12 mai 1996 signé par 41 pays dans le monde (ne comprenant ni la Chine, ni l’Inde, ni les Brésil).

Lors de la conférence sur le panorama de la cyber-sécurité du Clusif en janvier dernier, Hervé Schauer a présenté une étude de Loïs Samain, consultant de CEIS (co-organisateur du FIC) sur le sujet. Il mentionne un achat d’une faille pour prendre le contrôle d’un iPhone au prix d’un million de dollars en 2015 par l’intermédiaire du groupe « TheRealDeal ». D’autres failles permettant d’attaquer des sites d’e-commerce se négocient autour de 2 000 dollars. Des failles sur Microsoft Office valent environ 15 000 dollars. Une faille dans Flash Player vaut pour sa part 100 000 dollars. United Airlines, de son côté, propose 1 million de dollars en point miles sur ses vols pour des failles impactant son système d’information.

La recherche de failles de sécurité intéresse à la fois les services étatiques de renseignement, les grands éditeurs et opérateurs (dont les GAFA), voire désormais certaines grandes entreprises. Pour des applications sensibles, il est en effet maintenant envisageable de dépasser les tests d’intrusion réalisées jusqu’à présent et les tests automatisés réalisés par des systèmes experts.

Le modèle économique change. Le chercheur n’est plus un bénévole qui publie ses trouvailles pour la gloire. Il n’est plus non plus un spécialiste qui facture ses journées de travail pour mener des tests d’intrusion. Il vend des résultats, c’est-à-dire des failles de sécurité qu’il découvre et dont le prix est fixé par ce que l’on peut faire avec.

K-otic.com, Vupen, Zerodium…

Le site d’information sur les failles de sécurité, k-otik.com, créé par Chaouki Bekrar au début des années 2000 a laissé la place à la société Vupen en 2004, qui était basée à Montpellier. Elle s’est fait connaître par la découverte de différentes failles de sécurité. Vupen
a remporté en 2011, 2012, 2013 et 2014 le premier prix au concours de hacking Pwn2Own, en exploitant notamment en 2012 une faille de Google Chrome. Elle emporte, en 2014, 400 000 dollars de récompense. Elle arrête cependant son activité en 2014 face aux évolutions des arrangements de Wassenaar, malgré une clientèle comprenant la NSA qui lui avait permis d’ouvrir des bureaux à Annapolis dans le Maryland, aux Etats-Unis. Vupen a clôturé son dernier exercice connu sur un chiffre d’affaires de 2,918 M€uros avec un résultat net de 1,283 M€uros. Le 23 juillet 2015, les fondateurs de l’ex-Vupen créent Zerodium dont l’objectif est de faire travailler des chercheurs indépendants pour trouver des failles « 0 day » et les revendre. C’est un modèle économique de grossiste (ou broker) de failles de sécurité. On parle aussi des programmes « Bug Bounty ». Leurs débuts remonte à 1995 chez Netscape Communications Corp. Un responsable du support technique, Jarrett Ridlinghafer, a l’idée de rémunérer les personnes découvrant des bugs et des failles de sécurité. Des centaines de sociétés, surtout nord-américaines, adoptent l’approche et créent à leur tour des programmes « Bug Bounty ». On en trouve une liste sur le site http://bugsheet.com/directory


L'Arrangement de Wassenaar (de son nom complet, « l'arrangement de Wassenaar sur le contrôle des exportations d'armes conventionnelles et de biens et technologies à double usage ») est un régime multilatéral de contrôle des exportations mis en place par une quarantaine d'États afin de coordonner leurs politiques en matière d'exportations d'armements conventionnels et de biens et technologies à double usage. Il a été établi le 12 mai 1996 à Wassenaar, aux Pays-Bas, et succède au Coordinating Committee for Multilateral Export Controls.


En France, Guillaume Vassault-Houllière et Korben viennent de lancer Yes We Hack. (https://yeswehack.com/yeswehack.html?lg=fr) : Yes We Hack est une entreprise qui a un triple positionnement ambitieux, comme l’explique Guillaume Vassault-Houllière, son PDG, associé de Korben : « Yes We hack est tout d’abord un « jobboard » spécialisé sur les métiers de la sécurité, où nous ne recensons pas moins de 1 000 profils spécialisés dans la sécurité. De manière plus détaillée, nous sommes aussi le premier agrégateur de « Bug Bounty » au monde nous recensons aujourd’hui plus de 580 programmes de Bug Bounties et de programmes de disclosure. L’idée est venue du fait que les sociétés doivent faire des audits de sécurité régulièrement, et que ces audits représentent un prix élevé. Les Bugs Bounties offrent la possibilité aux sociétés d’externaliser la recherche de vulnérabilités en collectant un nombre significatif de failles de sécurité potentielles qui seront reproduites et analysées, ce afin de permettre l’amélioration du code. Avec un bon programme de Bug Bounty, une société peut faire tester la sécurité de son site ou de ses applications en continu par des centaines d’experts ».

Valoriser son CV par ses découvertes de failles

Yes We Hack a lancé la première plateforme européenne de Bug Bounty, BountyFactory.i.o. « Les entreprises qui ont des vulnérabilités s’inscrivent sur la plate-forme, et sont mises en contact avec des hackers qui trouvent les failles , et chaque chercheur qui trouve des failles peut gagner des points de compétences sur le jobboard de Yes We Hack et valoriser ainsi son CV », ajoute Guillaume Vassault-Houllière. Sans compter que le fait de trouver les failles est rémunéré, à la discrétion de l’entreprise. Cela peut atteindre, selon la criticité de la faille, des sommes parfois élevées.

Le principe paraît séduisant, mais que se passe-t-il quand un chercheur franchit la ligne jaune ? « Le système s’auto-régule », se justifie Guillaume Vassault-Houllière. « Ceux qui sont « out of scope » perdent des points de réputation et se retrouvent vite au ban de la communauté ».

Discret, et on le comprend, sur ses futurs clients, Guillaume Vassault-Houllière se montre néanmoins très confiant sur les perspectives de sa société. ■

[Commenter ce dossier...]

Autres dossiers Gouvernance