Actu
XMCO : Le marché des vulnérabilités "0-day"
février 2010 par XMCO PARTNERS
* Zero-day vulnerabilities on the market
– Date : 12 Fevrier 2010
– Gravité : Faible
– Description :
Les vulnérabilités "0-day" sont devenues de plus en plus prisées par les pirates ainsi que par les entreprises, ou même les gouvernements. En effet, comme le démontre la récente "Opération Aurora", celles-ci sont de plus en plus utilisées lors d’attaques réussies.
Ainsi, un véritable marché noir s’est développé autour de ces vulnérabilités. Un marché "blanc" s’est aussi créé. Celui-ci est notamment dirigé par VeriSign, TippingPoint et Google qui achètent les vulnérabilités "0-day", puis avertissent les entreprises pour qu’elles puissent fournir un correctif avant que les failles n’aient pu être exploitées. Les hackers, pour qui découvrir une vulnérabilité "0-day" prend souvent plusieurs mois, n’hésitent alors pas à revendre leurs trouvailles pour plusieurs dizaines, voire centaines, de milliers d’euros.
Même les agences gouvernementales du monde entier sont engagées dans ce marché aux "0-day". En effet, il est vital pour ces dernières de pouvoir se protéger de toutes les attaques. Habituellement, les agences gouvernementales sont prêtes à débourser beaucoup plus que n’importe quelle entreprise afin de pouvoir acquérir une vulnérabilité "0-day" qui les intéresse. Ainsi, d’après TrippingPoint, certaines vulnérabilités peuvent atteindre jusqu’à 1 million de dollars.
En général, la plupart des entreprises refusent de payer les chercheurs pour les vulnérabilités découvertes. Parmi ces entreprises figurent notamment Microsoft. Ces derniers pensent ainsi qu’offrir de l’argent en échange de vulnérabilités ne permettrait pas de promouvoir une approche communautaire pour protéger les utilisateurs contre les cybercrimes. D’un autre côté, Mozilla et Google offrent une modeste somme (maximum un peu plus de 1300$) pour une vulnérabilité découverte sur leur navigateur internet respectif.
Cette somme peut paraître bien dérisoire par rapport au 40 000$ qu’aurait coûté l’achat du "0-day" utilisé lors de "l’Opération Aurora". Charlie Miller, un chercheur en sécurité qui a vendu une vulnérabilité découverte dans Linux à un gouvernement pour 50 000$, affirme que livrer la vulnérabilité gratuitement à l’éditeur ou la revendre est une décision très difficile à prendre. Néanmoins, il reconnait qu’il est difficile de refuser une telle somme d’argent.
– Référence :
http://www.net-security.org/secworld.php?id=8842
http://www.vcstar.com/news/2010/feb/06/google-attack-highlights-zero-day-black-market/
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=1265964886
