La société Zerodium propose jusqu’à 100 000 dollars à toute personne qui lui apportera une faille 0-day exploitable dans Flash, accompagnée de la méthode complète d’exploitation. Mais elle ne réclame pas n’importe quelle brèche : elle doit permettre de contourner une protection bien précise.

Zerodium est une société qui se décrit elle-même comme la « meilleure plateforme d’acquisition des vulnérabilités. Elle a marqué l’actualité en novembre dernier lorsqu’elle a récompensé par un prix d’un million de dollars un chercheur pour lui avoir fourni une faille de sécurité exploitable dans les dernières versions d’iOS, y compris la mouture 9.1. Elle remet le couvert cette fois avec la recherche d’une vulnérabilité dans Flash.

Contourner un mécanisme de sécurité dans Flash

Mais cette entreprise à la réputation sulfureuse ne veut pas n’importe quelle faille. Dans la version 18.0.0.29 de son lecteur, Adobe a introduit en effet un important mécanisme de sécurité baptisé « Heap Isolation », soit littéralement « isolation de la pile ». Il a été implanté pour combattre un type de faille particulier, nommé UAF (pour Use-After-Free), qui permet une corruption de la mémoire avec, à terme, l’exécution d’un code arbitraire à distance.

L’isolation de la pile n’est pas une barrière absolue contre ce type de brèche, mais une technique permettant d’en réduire fortement les risques. Elle permet la mise en place d’une pile mémoire dédiée pour que les objets critiques y soient stockés. Séparée des autres piles, elle interdit normalement tout accès par un utilisateur, qui ne peut donc plus aller y récupérer certaines données.

Jusqu'à 100 000 dollars de récompense

Zerodium cherche donc à contourner cette protection et propose de récompenser toute personne qui lui apportera la solution sur un plateau. Seulement voilà, vaincre l’isolation de pile n’est pas suffisant : puisque l’on parle de contenu lu dans un navigateur, il faut encore pouvoir sortir de la sandbox du navigateur. C’est pourquoi la société propose deux types de récompenses : 65 000 dollars en cas de contournement réussi de l’isolation de pile, 100 000 dollars si une échappatoire est fournie pour la sandbox.

Adobe added isolated heap to Flash. This month we pay $100K (with sandbox) and $65K (without sandbox) per #exploit bypassing this mitigation

— Zerodium (@Zerodium) 5 Janvier 2016

La réputation exécrable de Flash sur le terrain de la sécurité est le résultat de plusieurs années de très nombreux bulletins critiques publiés par Adobe. Mais la firme s’est nettement battue pour améliorer ce point, provoquant aujourd’hui l’apparition de cette « offre ». Mais Zerodium n’est pas n’importe quelle entreprise, et le cas de la faille iOS a rappelé que tous les sociétés spécialisées dans la sécurité n’ont pas forcément à cœur de l’améliorer.

Le commerce des failles 0-day

Le montant d’un million de dollars versé au chercheur n’avait pas manqué d’attirer les regards. Mais pourquoi Zerodium investirait-elle tant dans une faille de sécurité ? Parce qu’elle en fait commerce. Dans une interview accordée à Wired le 2 novembre dernier, son fondateur Chaouki Bekrar indiquait très clairement qu’il n’était pas prévu de fournir les informations à Apple. Sur son site, l’entreprise annonce qu’elle récompense jusqu’à 500 000 dollars les failles 0-day, voire encore davantage quand il s’agit d’un mécanisme d’exploitation jugé « exceptionnel ».

Chaouki Bekrar est lui-même un ancien de la société française Vupen, basée à Montpellier. Il a fondé Zerodium avec d’autres anciens de ce domaine pour la collecte et la revente des failles 0-day. Il s’agit d’un commerce lucratif qui intéresse aussi bien les pirates que les agences de renseignement. Les documents dérobés par Edward Snowden ont montré à quel point la NSA (et les autres) investissaient dans cette recherche, les failles devenant autant d’armes potentielles pour les intrusions dans les systèmes.

Il n’y a donc pas de nouveauté dans la méthode utilisée par Zerodium, mais ce concours rappelle à quel point la sécurité, si elle est l’affaire de tous, n’est parfois - justement - qu’une question d’affaires.