Un article du New York Times alerte sur la croissance ultra-rapide du marché des vulnérabilités. Un marché souterrain, attisé par les gouvernements, où le couts des failles zero-day peut atteindre 160 000 $.
Le marché noir des failles de sécurité dites « zero-day » trouant les logiciels commerciaux du marché est désormais si enraciné que le prix d’une vulnérabilité peut aujourd’hui atteindre 160 000 dollars, ont révélé nos confrères du New York Times.
L’un des fournisseurs, cité dans l’article, fait ainsi payer à ses clients un abonnement annuel de 100 000 $, auquel s’ajoutent des frais additionnels lors de la vente, poursuit encore le quotidien américain, un brin alarmiste.
Les coûts dépendent de la sophistication de la vulnérabilité et de la portée du système d’exploitation ou de l’application commerciale visés.
Pour contrer ce problème grandissant, raconte le NYT, certains spécialistes du secteur IT ont mis en place des programmes de «bug bounty», qui récompensent les découvertes de failles. Le mois dernier, par exemple, Microsoft a finalement pris la décision de s’aligner sur Google, Paypal, Facebook ou encore la Mozilla Foundation, offrant des sommes d’argent aux personnes ayant mis le doigt sur une faille critique. Tentant d’éviter à tout prix que celle-ci ne se retrouve sur le marché noir. Et mise en vente.
Microsoft, qui avait décidé de tourner le dos au concept de «Bug Bounty», revient avec une récompense de 100 000$ pour tout exploit technique visant les mesures de protection de son dernier OS, Windows 8.
Google, dont la récompense s’est récemment élevée à 20 000$, et Facebook qui a payé jusqu’à 20 000 $ pour un unique bug, devrait certainement repenser leur programme afin que ceux-ci restent suffisamment efficaces. En clair, ré-évaluer le montant de leur récompense.
Mais et c’est un des points les plus alarmants soulevé par le NYT, ce marché noir serait alors tiré par le haut par les gouvernements, de plus en plus impliqués dans ce marché souterrain, soucieux d’avoir une longueur d’avance sur leurs rivaux. Parmi les plus gros acheteurs de failles, explique le quotidien américain, on retrouve les Etats-Unis, le Royaume-Uni, l’Israel, la Russie, l’Inde, le Brésil, la Corée du Nord, la Malaisie et Singapour.
Cela est particulièrement alarmant, d’autant que certains de ces fournisseurs de vulnérabilité, installés sur ce marché noir, se spécialisent sur des failles localisées dans les systèmes de contrôle industriels, permettant ainsi d’accéder ou encore de semer la pagaille dans les services publics nationaux, comme le réseau électrique ou encore celui de l’eau.
La croissance ultra-rapide de ce marché des failles constitue un défi très sérieux avec lequel les éditeurs de logiciels doivent aujourd’hui composer. Cela met également en avant l’importance qu’a pris aujourd’hui l’ensemble de la chaîne et des procédures liées à la sécurité.
Jeremiah Grossman, fondateur et CTO de la société spécialisée dans les outils de sécurité, WhiteHat Security, soulève également une dérive de tout cela : les gains élevés du marché noir poussent les développeurs mal intentionnés à insérer des bugs dans les logiciels.
La chaîne logistique liée à la sécurité est devenue une priorité depuis que les cyber-attaquants se sont mis à infiltrer les entreprises peu sécurisées. Pour répondre à cette problématique, le ministère de la Défense britannique, par exemple, s’est associé à 9 spécialistes de défense et fournisseurs télécoms pour mettre en place le Defence Cyber Protection Partnership (DCPP). Ce projet s’inscrit ainsi dans un vaste programme du gouvernement portant sur la cyber-sécurité. Le gouvernement a en effet fait de la cybermenace l’une des priorités de la Défense du pays en 2010. Ce partenariat porte sur le déploiement de systèmes de contrôle et de partage des menaces afin d’augmenter la sécurité de toute la chaîne de valeur.
Traduit et adapté de l’anglais par la rédaction du MagIT
Egalement sur LeMagIT :
Emulex perd son CEO et serait à vendre
Dans le Grand Est, l’intégrateur alsacien ACESI joue la carte du cloud de proximité