Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



La vente de 0day pourrait atteindre jusqu'à 120 000 $

Par Rédaction, secuobs.com
Le 03/02/2007


Résumé : Adriel Desautels affirme avoir vu des exploits, relatifs à des failles dites 0day, proposés à la vente dans les 120 000 $ quand la tranche moyenne se situe entre 5 000 et 50 000 $ ; ces ventes sont sujettes à polémique au sein même de la communauté des hackers.



L'un des co-fondateurs de SNOSoft, société spécialisée dans la sécurité informatique, Adriel Desautels révélait récemment, à nos confrères américains de Security Focus, avoir vu certains exploits de type 0day être vendus pour la coquette somme de cent vingt mille dollars.

Même si ces ventes ont été légitimées par des programmes d'achat comme le Vulnerability Contributor Program (VCP) de la société iDefense qui fait maintenant partie du groupe Verisign ou le Zero-Day Initiative (ZDI) de la compagnie TippingPoint qui a elle été rachetée par 3Com, cette pratique reste controversée d'un point de vue éthique et cela au sein même de la communauté des hackers.

VCP et ZDI serait par exemple à l'origine de la correction de dix sept vulnérabilités dans les produits de la marque Microsoft pour l'année 2005 sur cent cinquante failles reportées par le programme contre onze pour l'année 2006 pour quatre vingt une failles reportées au total. Pour la sortie de Windows VISTA, iDefense propose ce mois-ci en outre une prime de huit mille dollars pour les six premières failles découvertes dans le nouveau système d'exploitation de Microsoft ou dans la dernière version d'Internet Explorer.

Ces programmes seraient selon HD Moore, le fondateur de la plate-forme d'exploitation Metasploit, la manière la plus simple aujourd'hui de dévoiler une vulnérabilité tout en gagnant de l'argent (entre cinq mille dollars et cinquante mille dollars) ; les gains pourraient être cependant démultipliés en revendant les 0days à des acheteurs privés dont on ne peut cependant pas garantir l'identité et les conséquences de l'utilisation finale de la faille.

La vente de vulnérabilités à des tiers est caractéristique du marché de la sécurité actuellement ; les éditeurs de logiciels ne payent pas pour les vulnérabilités qui sont reportées pour leurs produits et ils ne communiquent pas plus sur les crédits ä apporter à l'auteur d'une faille étant à l'origine d'un correctif. Les chercheurs préfèrent alors dans ce cas se tourner vers des tiers.

Pour une vulnérabilité achetée à plus de soixante quinze mille dollars, on peut légitimement considérer l'acheteur comme un gouvernement ; dans ce contexte, l'information ne sera sûrement pas reportée à l'éditeur afin de maximiser la fenêtre temporelle d'exploitation. Les motivations de l'achat restent relativement obscures pour le chercheur et c'est essentiellement sur ce point que se pose la question éthique de la vente de vulnérabilités au plus offrant.