Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Quand l’US Navy publie une annonce pour acheter des failles 0-day

Oups

Quand l'US Navy publie une annonce pour acheter des failles 0-day

Le 15 juin 2015 à 09h30

On savait déjà que la NSA se livrait à une chasse continue pour les failles 0-day, des brèches exploitables alors qu'aucun correctif n'est disponible. Essentiellement silencieuse, l’activité a pourtant émergé aux yeux de tous un temps durant. Il a suffi que la Navy publie un marché sur un site accessible au public. Le document compromettant a été retiré depuis. 

Le grand arsenal des failles de sécurité

Les failles 0-day, qui offrent la garantie d’une exploitation sans qu’une mise à jour quelconque soit disponible, font partie des armes préférées des pirates et des agences de renseignements. Par le piratage de Kaspersky avec une variante modernisée de Duqu, les premiers ont démontré qu’ils pouvaient mettre sur pieds un scénario entier d’attaque avec une seule faille. Quant au second, ce type d’activité a été exposé par les documents dérobés par Edward Snowden à la NSA.

Pour autant, le fait que le monde du renseignement cherche à passer sous silence une telle chasse aux failles 0-day n’a rien d’étonnant. Plus la NSA et les autres agences gardent le secret sur cet arsenal d’un nouveau genre, plus elles ont l’initiative en cas d’attaque. Car une faille 0-day peut permettre à des ingénieurs de se glisser dans les défenses et dans les réseaux d’une entreprise ou de n’importe quelle structure pour obtenir de précieuses informations.

Problème : l’efficacité d’une faille 0-day dépend directement de son secret. Si l’éditeur a vent de la brèche, il va la corriger et ses « bénéfices » en seront perdus. C’est précisément ce qui a poussé Snowden, de nombreux experts en sécurité, ainsi que des figures telles que Tim Berners-Lee, à accuser le monde du renseignement de détruire les fondations d’Internet. Car plus les failles sont accumulées sans correction, plus elles ont le pouvoir d’être utilisées à tort et à travers : la capacité d’en espionner quelques-uns devient alors plus importante que celle d’en protéger des millions.

L'US Navy lance une offre d'achat sur un site public

Et la Navy, peut-être par erreur, a publié une annonce qui indique très clairement ce qu’elle cherche. La marine américaine indiquait ainsi sur FedBizOppz.gov (un site permettant de faire appel à des prestataires extérieurs) qu’elle cherchait activement à acheter des failles 0-day ou N-day, c’est-à-dire dont la découverte date de moins de six mois. La Navy lançait donc un appel à des revendeurs, des prestataires, des éditeurs et globalement toutes les structures qui pourraient vendre de telles failles.

Pourquoi ? Parce que le gouvernent veut « accéder aux renseignements sur les vulnérabilités, rapports d’exploitations et binaires opérationnels d’exploitation affectant des logiciels commerciaux largement utilisés ». Microsoft, Google et Apple ne sont que quelques exemples des éditeurs visés, et il est clair que l’objectif est de pouvoir se glisser dans des réseaux et des appareils couramment utilisés pour obtenir, non pas directement les données souhaitées, mais au moins des informations sur les personnes susceptibles d’y accéder.

Une annonce supprimée dès son repérage par l'EFF

L’annonce a été repérée par Dave Maass, chercheur pour l’EFF (Electronic Frontier Foundation), qui en a tweeté une partie du contenu dans la foulée. L’attention générée a alors alerté la Navy, qui l'a rapidement supprimé. Bien entendu, et comme l’indique d’ailleurs la fondation, le fait que le gouvernement cherche des failles 0-day ou N-day n’est pas une nouveauté, mais l’utilisation d’un site classique d’annonces pour recruter en dit long sur les priorités de l’armée américaine et du gouvernement.

Le problème des failles 0-day est, pour rappel, qu’elles peuvent être utilisées par n’importe qui. Les rapports de failles pourraient donc être envoyés aux éditeurs respectifs pour que la sécurité générale augmente et que ces failles ne puissent plus nuire, dans un sens comme dans l’autre. En créant une réserve et en souhaitant militariser ces vulnérabilités, l’armée américaine prend le risque que d’autres stockent les mêmes failles et s’en servent contre des structures américaines. Rien ne peut garantir qu’une même brèche n’est pas gardée dans plusieurs réserves concurrentes en même temps.

Le processus trouble qui détermine le destin des failles

Selon l’EFF toutefois, le gouvernement ne choisit d’attaquer avec une faille de sécurité qu’en cas de nécessité, dans un scénario où une telle arme est requise. En fait, chaque faille transite par le Vulnerabilities Equities Process (VEP), qui doit statuer sur l’avenir d’une faille : la garder précieusement dans la réserve « militaire » ou en communiquer les détails à l’éditeur concerné. Malheureusement, l’ensemble du processus est classifié et le public ne peut donc pas savoir sur la base de quels critères la décision a été prise.

Mais la fondation souligne également que le monde du renseignement entretient une ambivalence réelle au sujet de ces failles. D’un côté, un porte-parole de la Maison Blanche, Michael Daniels, indique que le VEP permet de révéler la majorité des failles aux éditeurs selon un processus « responsable ». De l’autre, la Navy va jusqu’à publier une annonce aux yeux de tous pour acheter des failles 0-day et N-day. L’EFF a d’ailleurs déposé plainte il y aura bientôt un an pour obtenir la publication complète des détails du VEP, pour que le public sache comment de telles décisions sont prises. Une plainte qui faisait d’ailleurs suite à l’affaire Heartbleed et aux soupçons qui pesaient sur son utilisation par la NSA.

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







rdg_pci a écrit :



Je pense que le but ici est d’acheter une faille puis de l’optimiser en interne pour qu’elle soit encore moins détectable, ou ajouter des fonctionnalités. Voir carrément de recruter le hacker !







Comment faire pour qu’une faille soit moins détectable ? Patcher le produit original ? ^^ <img data-src=" /><img data-src=" />


votre avatar

C’est aussi un moyen de piéger les gens.

&nbsp;

La technique de la carotte …

&nbsp;

votre avatar

Haha, tu serais surpris :)

votre avatar







ActionFighter a écrit :



Dans ce cas, tu peux raser la Terre directement, parce que les USA sont loin d’être les seuls à faire ça <img data-src=" />





Du coup, y’a plus simple et plus rationnel : le raser lui.


votre avatar

L’art de la communication des services secrets est une discipline à part.

&nbsp;

Feindre la débilité profonde avec ce genre de demande cache forcement un double jeu.

votre avatar







YesWeekEnd a écrit :



Du coup, y’a plus simple et plus rationnel : le raser lui.





Ça m’embête, on pourrait confondre avec ceux ayant couché avec les boches <img data-src=" />


votre avatar

Mouais, communication et services secrets…. D’ailleurs la NAVY n’est pas la NSA.

&nbsp;Et de la note de service interne au quartier maître qui appuie sur le bouton, les idiots&nbsp;erreurs possibles&nbsp;ne manquent pas.

votre avatar







ActionFighter a écrit :



Ça m’embête, on pourrait confondre avec ceux ayant couché avec les boches <img data-src=" />





En effet, il faut éviter le cas boche…


votre avatar







ActionFighter a écrit :



Dans ce cas, tu peux raser la Terre directement, parce que les USA sont loin d’être les seuls à faire ça <img data-src=" />





Raser la terre,&nbsp; y en a qui sont payés pour. Ce n’est juste plus qu’une question de temps.&nbsp;


votre avatar







YesWeekEnd a écrit :



En effet, il faut éviter le cas boche…





&nbsp;

Je croyais qu’on écrivait ça “BOSCH” ?

&nbsp;



&nbsp;(pub)


votre avatar

“Quand l’US Navy publie une annonce pour acheter des failles 0-day”

&nbsp;

&nbsp;pour acheter des fayots

votre avatar

Les USA, Ennemi Mondial N°1.

votre avatar

Exactement ce que l’on reproche aux recéleurs :

&nbsp;payer des pirates, ça veut dire leur assurer un revenu en rapport avec leur activité, et donc les encourager à continuer, et à se développer…

votre avatar

Pas du tout, ce sont d’honnêtes chercheur en sécurité. Les apparences sont sauves.

votre avatar
votre avatar

Voilà ce qui se passe quand on sous traite…

votre avatar

Ce n’est pas un marché offre/demande classique. Le même produit peut être revendu plusieurs fois. Je voudrais bien voir qui osera porter l’affaire en justice pour une clause d’exclusivité non respectée.

votre avatar

quand on est en guerre en PERMANENCE avec tout le monde : oui , on ne s’embarrasse plus.

L’impérialisme décomplexé en somme.

votre avatar

Allez sur TOR, les sites sont légions ….

votre avatar

De toute façon, avoir connaissance d’une faille ne se traduit pas par un exploit immédiat.



Donc si plusieurs organisations connaissent la faille, après elles doivent l’exploiter. Donc le prix de la divulgation est à mon avis extrêmement variable, selon le degré de “facilité” pour l’exploit, les chances d’en faire quelque chose, et surtout combien le “client” est prêt à y mettre .

votre avatar

Je pense que le but ici est d’acheter une faille puis de l’optimiser en interne pour qu’elle soit encore moins détectable, ou ajouter des fonctionnalités. Voir carrément de recruter le hacker !

votre avatar

Terroristes

&nbsp;Que ce continent disparaisse a tout jamais.

votre avatar







taralafifi a écrit :



Ca peut se négocier combien une faille 0-Day ?







[Joke]

Le prix d’un mot de passe négocié par un admin fauché ?

[/joke]


votre avatar







Obidoub a écrit :



Voilà ce qui se passe quand on sous traite…





C’est inavytable <img data-src=" />


votre avatar

Hey, y’a des gens gentils sur le même continent. <img data-src=" /> Prends des ciseaux et découpe les USA avant stp <img data-src=" />

votre avatar

On laisse le Québec alors <img data-src=" />

votre avatar







Pikrass a écrit :



Hey, y’a des gens gentils sur le même continent. <img data-src=" /> Prends des ciseaux et découpe les USA avant stp <img data-src=" />





Les gentils dans un monde controlé par des&nbsp; méchants ca sert a rien.


votre avatar







pentest a écrit :



Terroristes

 Que ce continent disparaisse a tout jamais.





Dans ce cas, tu peux raser la Terre directement, parce que les USA sont loin d’être les seuls à faire ça <img data-src=" />


votre avatar

C’est justement&nbsp;parce que&nbsp;la justice ne sera pas l’option choisis par l’acheteur qui se sentirais&nbsp;lésé&nbsp; que les failles sont probablement vendue une seule fois par les vendeurs un minimum prudent. (Je parle pas nécessairement de meurtre, mais une agence gouvernementale de renseignement peut ruiner ta vie bien plus qu’un procès).&nbsp;

votre avatar

Comme ce ne sont pas des idiots dans la Navy, c’est probablement un autre but qui était visé.

&nbsp;



&nbsp;

votre avatar

Sinon, la théorie du complot, c’est “marrant”, mais il ne faut pas oublier que l’armée américaine (j’en suis sûr pour l’OTAN) utilise les logiciels Adobe ou Microsoft tels que Adobe Reader, Microsoft Office, etc…

&nbsp;



La NSA qui achète des 0-day, c’est sur que c’est pour l’espionnage puisque c’est leur métier, par contre pour l’US Navy, ca peut aussi être pour chercher à se protéger.



&nbsp;

Après tout, on a dernièrement entendu parler de plusieurs sites de l’armée qui avait été compromis/piratés, et ca me surprendrait que ca aie été fait à cause de failles de ce type non détectées.

votre avatar

<img data-src=" /> décidément on ne s’embarrasse pas chez l’oncle sam….

votre avatar

In the navy

Yes, you can sail the seven seas

In the navy

Yes, you can put your mind at ease

In the navy

Come on now, people, make a stand

In the navy, in the navy

Can’t you see we need a hand

In the navy

Come on, protect the mother land

In the navy

Come on and join your fellow man

In the navy

Come on people, and make a stand

In the navy, in the navy, in the navy (in the navy)

<img data-src=" />









otto a écrit :



<img data-src=" /> décidément on ne s’embarrasse pas chez l’oncle sam….





Ils sont pas spécialement connus pour leur finesse mais là c’est carrément bourrin <img data-src=" />


votre avatar

Ca peut se négocier combien une faille 0-Day ?

votre avatar

&nbsp;Ça dépends totalement du logiciel/site/protocole concerné par la faille, mais selon un article de forbes il y a quelques mois/années je crois que ça se négociait aux alentours de 50007000 dollars. Parfois énormément plus pour les failles critiques sur des logiciels très utilisés.

votre avatar

ou comment être fiché de sa propre volonté.&nbsp;

votre avatar

JH, 23 ans marin, cherche JF (jeune faille) pour relation torride. Faille sérieuse uniquement, contact à [email protected]. Kiss.

votre avatar







taralafifi a écrit :



Ca peut se négocier combien une faille 0-Day ?





Une fois j’avais entendu parler de prix très variables allant de la centaine d’euros aux dizaines de milliers d’euros en fonction de nombreux critères (logiciel atteint, possibilités obtenues, facilité d’exploitation, etc.)


votre avatar

C’est pas si cher que ça finalement.

Ce qui parait étonnant c’est que la demande doit être énorme pour une faille 0-day (genre tout les gouvernements +&nbsp; personnes mal intentionnées), du coup le prix doit s’envoler puisque l’offre ne doit pas être si grande (enfin espérons!).



Et puis rien d’étonnant dans cet article, pas mal de gouvernement doivent le faire, mis à part le moyen utilisé pour la demande qui lui laisse à désirer…

Le mec a du valider et a ensuite dit : OUPS!

votre avatar

Même si il y a de la demande, le vendeur doit vendre la faille avant qu’une autre personne la découvre. Ca empêche de trop faire monter les prix !&nbsp;

votre avatar

D’où le sous-titre&nbsp;<img data-src=" />

votre avatar







blackdream a écrit :



Même si il y a de la demande, le vendeur doit vendre la faille avant qu’une autre personne la découvre. Ca empêche de trop faire monter les prix !&nbsp;



Je n’avais pas vu ça sous cet angle et ça me semble logique en fait. Bon si c’est une faille bien dégueulasse à trouver, je pense qu’ils se priveront pas pour faire monter les enchères!

&nbsp;





Vincent_H a écrit :



D’où le sous-titre&nbsp;<img data-src=" />



Effectivement, j’avais pas fait gaffe. Bon j’aurais pas les droits sur la vanne alors, tant pis… <img data-src=" />


Quand l’US Navy publie une annonce pour acheter des failles 0-day

  • Le grand arsenal des failles de sécurité

  • L'US Navy lance une offre d'achat sur un site public

  • Une annonce supprimée dès son repérage par l'EFF

  • Le processus trouble qui détermine le destin des failles

Fermer