Les hackers sont friands de portes d’entrée dans les systèmes d’information. Rien de mieux pour cela qu’une faille informatique sans protection, appelée 0-days. Elles s’achètent en ligne comme on va au super marché. Il faut compter entre 500 $ et 40 000 $. C’est ce que présente Loïs Samain, consultant cybersécurité pour la société CEIS.
Le marché des 0-days a évolué durant l’année 2015, aussi bien d’un point législatif que d’un point technique.
Boutiques en ligne
On note tout d’abord que de nouvelles boutiques en ligne sont apparues dans le DarkNet. Certaines boutiques se sont spécialisées dans le commerce de produits à très haute valeur ajoutée, comme TheRealDeal (http://trdealmgn4uvm42g.onion) qui se focalise sur la vente de codes 0-day et d’exploits (code informatique capable d’utiliser une faille).
Les prix des 0-days se basent sur une règle du type « plus le nombre de vulnérabilités est faible, plus le prix augmente. » Pour une faille 0-day, les prix varient entre 500 $ et 40 000 $. Cette année, le record revient à Zerodium pour une faille iOS 9.1 et iOS 9.2b à 1 million de dollars.
Arrangement de Wassenaar
Au niveau de la législation, le marché des 0-days a aussi évolué en 2015. Le Bureau de l’Industrie et de la Sécurité américain (BIS Bureau of Industry and Security) a proposé une transposition dans la loi américaine de l’évolution de l’arrangement de Wassenaar de décembre 2013. Les Etats-Unis ont ajouté la recherche et l’exploitation de vulnérabilités 0-days aux logiciels d’intrusion et de communication dans cette nouvelle version de l’arrangement.
Une forte levée de boucliers de la communauté a poussé le BIS à réfléchir à une nouvelle transposition de l’arrangement de Wassenaar, bien que déjà plus de 30 états américains appliquent cette règle.
Chasseurs de prime
Le métier de Bug Bounty, chasseur de primes de découverte des failles, a aussi évolué dans sa professionnalisation. Outre de nombreuses plateformes telles que HackerOne, BugCrowd ou encore FireBounty, les primes pour la découverte d’une vulnérabilité ont considérablement augmenté et les sociétés sont de plus en plus hétérogènes.
Les récompenses se diversifient également, puisqu’elles vont jusqu’à proposer des Miles sur la compagnie aérienne United Airlines. Enfin, avec l’apparition de Zerodium, un nouveau modèle de grossiste est apparu, avec une tarification claire et des primes très élevées pour des demandes très précises.
Et vous, qu’en pensez-vous ?
Votre réaction, vos questions ou vos suggestions ? Déposez votre avis ci-dessous.
Je réagis à cet articleTop lectures en ce moment
L’actualité de la transformation
L'IA clé de nos besoins vitaux dans l'eau, l'électricité et le gaz
Marchés de l’eau : l’IA générative arrive dans les réponses aux appels d’offres des collectivités
Saur, spécialiste de la distribution d’eau potable, fait évoluer son processus de réponse aux appels d’offres des collectivités et des industriels en y injectant de l’IA géné…
Stockage de l’électricité : l’IA générative outil d’accélération clé chez Engie
Le stockage de l’électricité est un enjeu stratégique. Engie s’y attelle et mobilise pour cela l’IA générative de type RAG, c'est-à-dire basée sur le traçage des documents source. …
Nouvelle donne dans le gaz naturel : GRDF s’adapte en utilisant l’IA
GRDF, leader de la distribution du gaz naturel en France, affine sa stratégie d’IA. Il s’appuie sur des serveurs internes pour la confidentialité des données de ses clients. GRDF c…
Les agents de la cybersécurité se doivent d’être plus performant, en terme de recherche, que ceux de l’autre camp (ceux de la cyberattaque). Le système de prime pour la recherche des failles est déjà une bonne chose.
Au prix que l’on paie pour les failles de securite.C’est devenu un véritable business!
Bel article sur la sécurité face aux hackers pour compléter vos propos :
.bretagnetelecom.com/actualites/2016/02/securite-numerique-attaque-ddos-et-cybermenace-bretagne-telecom-protege-les