ImmuniWeb® by High-Tech Bridge


High-Tech Bridge Newsletter

Subscribe to our newsletter and receive some or all of our corporate news, invitations to security events or HTB Security Advisories – you choose what you want to receive.

Dans l’univers impitoyable des failles informatiques.

Tribune de Genève - Vendredi, 28 septembre 2012

Le Net s’apparente de plus en plus à une jungle, où les vulnérabilités numériques se négocient à prix d’or


Allez, prononcez l’expression Zero Day, comme ça, pour voir, au cours d’un dîner mondain, histoire de faire le tri entre non-initiés et ayatollahs de la charia digitale. Le Zero Day intrigue ou fait flipper. Non, il ne s’agit pas de la dernière lubie cinématographique de Steven Spielberg, mais de courts blocs de lignes de code extrêmement ingénieuses et complexes à élaborer. Dans le petit monde de la sécurité informatique, un Zero Day est une faille critique encore inconnue, permettant à quelques habiles bidouilleurs de clavier, pas forcément bien intentionnés, de pénétrer ou d’infecter un ordinateur, un système ou une entreprise. Cette semaine, cette définition s’est gentiment rappelée à la mémoire de Microsoft: une faille critique découverte sur Internet Explorer a fait les riches heures d’une poignée de pirates. Si l’empire de Bill Gates possède lui aussi ses talons d’Achille virtuels, on imagine aisément qu’UBS, Crédit Suisse et consorts tremblent de peur à l’idée d’être infiltrés.

Un million pour quelques instructions ingénieuses
A Genève comme ailleurs, le business du Zero Day a donc le vent en poupe. Une suite de chiffres et de lettres aux yeux du profane, mais qui s’évalue parfois à plusieurs millions de francs suisses. Un marché si dense et si secret que le Washington Post s’y est intéressé à travers toute une série d’articles. «Il existe bel et bien une demande en la matière et un marché de l’exploit » (lire l’encadré), confirme Frédéric Bourla, le directeur du Département de hacking éthique de High-Tech Bridge, une société active dans le domaine de la sécurité informatique. Aujourd’hui, les guerres sont essentiellement numériques. Une vulnérabilité se négocie de pas grand-chose à plusieurs centaines de milliers de francs. Il y a quelques sociétés capables d’investir des sommes considérables pour éviter de se faire hacker, davantage encore de personnes prêtes à investir des sommes supérieures pour s’introduire dans leurs systèmes. Mais ne devient pas un Barbe Noire 2.0 qui veut. Le hacking de haut vol est un milieu opaque qui possède ses propres règles, c’est-à-dire aucune. «On ne tombe pas sur un Zero Day par hasard. Lorsqu’on en trouve un, c’est qu’on l’a cherché durant des semaines, voire des mois. En règle générale, les pirates ne souhaitent que rarement infiltrer une société précise, mais plutôt un programme qui leur permettrait de s’introduire dans plusieurs d’entre elles. Aujourd’hui le monde entier est interconnecté: du pain bénit pour les as de l’infiltration virtuelle», résume le spécialiste.
L’intérêt des multinationales réside donc dans le fait d’esquiver cette nouvelle forme de racket en prenant de court les pirates. Comment? En lorgnant du côté du Pwn2own Contest (prononcez Paune tou Aune en bon franglish). Cette compétition d’un genre nouveau représente en quelque sorte le Roland Garros du hacking, le Super Bowl de la faille. Un lieu où les princes du binaire s’affrontent en essayant de «cracker» un programme donné. A la clé: l’ordinateur vaincu (un modèle à faire pâlir un geek) et un prize money dodu. Cette année, en seulement quelques minutes, après des semaines de travail en équipe, les Français de Vupen, une start-up spécialisée dans la détection de failles, sont parvenus à contourner la sécurité de la dernière version de Chrome pour prendre le contrôle de la machine cible. Ils ont au passage repéré une autre vulnérabilité qu’ils ont préféré… monnayer directement à la source.

Les Incorruptibles du Net
Du coup, bien des entreprises saluent l’éclosion de High-Tech Bridge avec un soupir de soulagement. Et pour cause: la toute jeune firme genevoise livre gratuitement les résultats de ses investigations. Car à la différence des pirates lambda, les pointures de ce laboratoire de recherche sur la sécurité informatique livrent le fruit de leurs recherches aux sociétés concernées. Et elles s’avèrent tout aussi efficaces que les hors-la-loi: en l’espace de deux ans et demi d’existence, les Suisses de High-Tech Bridge ont découvert quelques 570 vulnérabilités pour près de 200 vendeurs. «Nous les donnons gratuitement, sans rien monnayer. Notre objectif est d’améliorer la sécurité globale sur internet», explique encore Frédéric Bourla, le nouveau Robin des Bois du Net.
Et il y a du boulot: il y a deux jours, à Amsterdam, à l’occasion de la conférence sur la sécurité informatique EUSecWest, un bug a été découvert dans le moteur WebKit de Safari Mobile, conduisant à une faille de sécurité. Celle-ci a été démontrée sur iPhone 4S et se manifeste aussi sur iPad… Et pendant ce temps, chez Microsoft, les informaticiens suent encore sur le patch correctif d’Internet Explorer. Une guerre sans fin qui ne fait que commencer.

Par Cécile Denayrouse
Previous Media Publications:

AGEFI Magazine Septembre 2012: Pourquoi personne ne peut aujourd'hui arrêter les hackers.

Hakin9 Magazine: XSS & CSRF: Exploitation pratique des vulnérabilités