Recherche de faille de sécurité chez un tiers, chantage à l’image de marque ?

Avec l’accroissement constant de la complexité technique des applications et des logiciels, le nombre de bug (comportement non désiré), erreur de conception ou négligence amenant à une faille de sécurité, a explosé. Quand en 2000, MITRE, organisme à but non lucratif œuvrant pour l’intérêt public dans les secteurs IT et notamment la sécurité des applications, référençait 1020 failles de sécurité dans son annuaire sur une année. Elle indexe plus de 18 000 failles pour 2020 et déjà plus de 16 000 en 2021. Ces chiffres n’incluent que les failles communiquées aux principaux organismes compilant ce type de donnée. On peut y ajouter plusieurs milliers de failles disponibles au marché noir ou celles détenues par des entreprises privées faisant commerce de leur découverte ou les réservant à un usage interne.

La recherche de faille de sécurité, un business à part entière

Avec l’accroissement des mesures visant à protéger et informer le consommateur, il est désormais commun d’entendre parler de fuite de données ayant touché un service majeur à cause d’une de ces failles ou d’avertissement concernant une faille activement exploitée.

C’est dans ce contexte que travaille de nombreuses entreprises privées (éditeur d’antivirus, société de sécurité informatique ...), publiques (armées, services de renseignement) ou hackeurs (éthique ou non). Tous cherchent à découvrir les failles dans les logiciels et services les plus populaires pour en tirer un bénéfice subjectif. Quand une entreprise privée trouve une faille dans un produit dont elle n’est pas l’éditrice, trois solutions s’offrent à elle :

. Revendre l’information expliquant comment exploiter la faille

. Communiquer la faille à l’éditeur de la solution et espérer une récompense

. Rendre publique la faille pour permettre aux utilisateurs de s’en protéger et espérer que l’éditeur corrige la faille

De plus en plus de grandes entreprises on mit en place des programmes de récompense. Il s’agit de rétribuer les chercheurs, hackeurs ou professionnels faisant part de leurs découvertes. Par exemple, Microsoft récompense à hauteur de quelques centaines de dollars pour les failles les plus simples et jusqu’à 250 000$ pour les produits les plus critiques à ses yeux. De cette manière la force d’investigation des éditeurs est décuplée et les coûts réduits. Si rien n’est trouvé, il n’y a pas de dépense.

L’isolement peut être dangereux

Pour autant, il arrive que certaines entreprises refusent de rémunérer ces chevaliers blancs œuvrant pour le bien commun. Apple a longtemps refusé de rémunérer ces personnes. À la place elle leur proposait d’inscrire leur nom sur une page dédiée quelque part sur son site internet… C’est en partie à cause de l’affaire de l’iPhone de San Bernardino qu’Apple a décidé de mettre en place un programme de ce type. Pour conserver son image d’entreprise œuvrant pour la sécurité et la confidentialité de la donnée de ses utilisateurs, l’entreprise a refusé d’aider le FBI à déverrouiller le téléphone du terroriste. Sur les réseaux Apple fût acclamé et l’iPhone s’est vu attribué une image de téléphone ultra sécurisé auprès du grand public.

Après plusieurs mois de batailles acharnées entre Apple et les services fédéraux dans la presse, mais aussi dans les tribunaux, l’iPhone a pu être déverrouillé et les données obtenues. Cette prouesse a été rendue possible en partie grâce au mépris de la marque pour les chercheurs de failles.  En effet, il s’est avéré qu’un hackeur était en possession d’une faille Zero-Day, c’est-à-dire qu’elle n’est connue que de son découvreur et non de la marque, permettant de déverrouiller le téléphone sans en connaitre le code. Cette faille était en vente depuis un certain moment déjà, le FBI a donc fini par en faire l’acquisition. On ne sait pas si la faille a été vendue à d’autres entreprises, organismes ou personnes.

Si Apple avait eu un programme de récompenses, il est probable que cet hackeur se serait tourné vers la marque et non vers le marché noir. Depuis le programme de la marque se veut assez généreux puisque les failles semblables à celle de San Bernardino sont récompensées jusqu’à 1 000 000 de dollars. Apple est sorti largement vainqueur aux yeux du public alors que dans les faits, l’iPhone a été déverrouillé sans l’aide de la marque. Ses produits ne sont donc pas aussi inviolables que prévu et cette situation l’a placé dans une situation plus qu’ambiguë. En refusant de collaborer avec la justice américaine, la marque a en quelque sorte entravé son action pour chercher des preuves sur l’activité terroriste. Bien que cet argument fût régulièrement mis en avant, Apple a su jouer des retombées de l’affaire Snowden, pour dévier l’attention sur les failles de la NSA afin de sauver son image.

La déstabilisation du « géant » Intel

Quand un éditeur trouve une faille dans son propre produit, il évite un potentiel scandale qui pourrait fortement impacter son image comme ce fût le cas avec Intel très affecté par les failles Meltdown et Spectre (1). Si d’autres marques furent concernées par ces deux failles (2), aucune ne fût impactée comme Intel, étant donné sa position dominante du marché.

La nouvelle a fait pâlir les responsables informatiques de la planète entière. Le seul moyen de se protéger définitivement de Spectre étant un remplacement pur et simple du matériel touché. Quand on sait qu’une de ces puces peut coûter plusieurs milliers de dollars et qu’un Datacenter en compte rapidement des milliers, il n’est pas possible d’appliquer cette solution.  Intel a fini par trouver une solution logiciel qui s’est matérialisée par une baisse de performance de 5 à 30% des processeurs. Autant les clients grands comptes d’Intel se sont probablement vu offrir une ristourne conséquente sur leur prochaine commande de processeur, les plus petits clients ont subi cette mésaventure et ses conséquences sans avoir aucune marge de manœuvre.

Intel a eu la chance dans cette affaire d’être avertie par l’équipe de chercheurs plusieurs mois avant la publication du rapport. Bien qu’aucune solution n’ait pu être trouvée dans ce laps de temps, une communication bien rodée fut préparée pour amortir le choc. Alors que la sécurité de la quasi-totalité des puces informatique a été remise en cause (et l’est toujours), Intel n’a connu une chute en bourse que de 6% et l’impact sur les ventes quasi nulles. Seule la participation d’Intel en tant que fournisseur fût un temps remis en cause dans certains projets d’envergure étatique. En proposant une nouvelle génération de processeur dénué de ces deux failles, Intel a pu regagner la confiance de ses clients.

Votre allié est parfois votre pire ennemi

Il est impossible pour des éditeurs / fournisseurs comme Microsoft, Intel, Google, Amazon et bien d’autres de se prémunir contre tous les risques cyber actuels. Quel que soit les moyens investis, il y aura toujours un Chinois ou un Russe potentiellement apte à détruire des années de travail en utilisant ou dévoilant une faille dans les systèmes ciblés.

L’extension des affrontements informationnels au sein même du camp occidental

Mais parfois l’ennemi se trouve être une firme occidentale. Google a souvent écorné l’image des plus grands avec sa politique drastique en termes de recherche et communication sur les failles de sécurité trouvées dans les produits d’éditeurs tiers. Lorsque ses équipes trouvent une faille, elles rédigent un rapport qui est transmis à la société concernée.  L’entreprise a alors 10 jours pour réagir après quoi Google publie le rapport sur son site. En octobre 2016 Google à publier un rapport sur Windows, le système d’exploitation de Microsoft. Ce dernier détaille une faille critique permettant à un code malveillant d’obtenir des droits administrateurs sur le système hôte.

Microsoft a exprimé publiquement son mécontentement vis-à-vis de Google puisqu’une telle publication expose les utilisateurs à un nouveau genre d’attaque, la faille ne pouvant être corrigée dans le délai imparti par Google au vu de sa complexité. Google se défend en assurant que Microsoft aurait pu communiquer lors de ces 10 jours pour en avertir les utilisateurs et donnant des mesures et bonnes pratiques permettant d’éviter une exposition à ce type d’attaque.

Certaines entreprises, collectifs ou équipes, n’hésitent donc plus à attaquer les plus grands du secteur en les mettant publiquement dans une position difficile pour s’assurer qu’ils effectuent l’action désirée « pour le bien commun » en alimentant des bases de données publiques.  Un tel type de chantage risque de donner lieu à de nouveaux types d’attaque informatiques, via un vecteur social et informationnel puissant.

 

Arthur Sicard,
Etudiant de la 25ème promotion SIE

 

Notes

 

  1. En 2018 des chercheurs en sécurité ont publié deux rapports dévoilant une faille logicielle (Meltdown) et une faille physique (Spectre) incorrigible dans l’architecture des processeurs modernes.
  2. Ordinateurs, serveurs, smartphones, objets connectés, ont été potentiellement des cibles.