vendredi 27 septembre 2013

La NSA achète des vulnérabilités, y compris en France. Légalement ?

A lire sur:  http://www.zdnet.fr/actualites/la-nsa-achete-des-vulnerabilites-y-compris-en-france-legalement-39794121.htm

Sécurité : La NSA a souscrit pour 12 mois un contrat avec Vupen Security, un acteur français de la sécurité commercialisant des prestations de sécurité offensive et défensive, dont des failles Zero-day. Si le français n’est pas le seul fournisseur de failles et d'exploits, la légalité en France se pose néanmoins.
Dans un article paru fin août, le Washington Post indiquait, sur la base de documents classifiés, que la NSA avait mené en 2011 plus de 200 cyber-opérations offensives. Et pour ses actions, l’agence de renseignement consacre notamment plusieurs millions de dollars à l’achat de vulnérabilités logicielles.
Le journal évoquait à cette occasion l’existence d’un marché gris des vulnérabilités en Europe. Et parmi ces fournisseurs de vulnérabilités figure notamment une entreprise française, connue des professionnels de la sécurité, Vupen Security.
Un business des vulnérabilités qui n'est pas nouveau
Un contrat passé en 2012 entre Vupen et la NSA a ainsi été dévoilé, légalement, par MuckRock.com sur la base du Freedom of Information Act. La prestation porte sur un abonnement pour une durée de 12 mois à une prestation comprenant l’analyse de binaires et un service d’exploits.
Sur son site, Vupen ne fait pas mystère de la nature de son activité, mettant ainsi en avant ses compétences en matière de sécurité défensive et offensive, et indiquant mettre à disposition des codes d’exploitation pour des failles zero-day.
L’offre « Binary Analysis & Exploits », dont le coût n’est pas communiqué, se destine aux fournisseurs de solutions de sécurité, aux CERTs, aux grandes entreprises et donc également aux gouvernements. Pas de mystère ici. L’identité des clients est malgré tout confidentielle.
L’entreprise française précise toutefois réserver exclusivement ses compétences à des organisations dites de confiance. Les critères utilisés pour en juger ne sont pas précisés. Et le PDG de Vupen, Chaouki Bekrar, très sollicité en ce moment, ne souhaite pas en discuter avec la presse.
Mais comme le rappelait Reynald Fléchaux sur Silicon.fr, le « Darth Vader of Cybersecurity » n’a pas toujours été aussi réservé sur l’activité de sa société. A Security Week, Chaouki Bekrar confiait en mars dernier faire en effet le commerce «des exploits fonctionnels », notamment auprès des Etats.
A condition qu’il s’agisse de pays membres de l’OTAN ou non visés par un embargo international. Les clients potentiels sont donc en théorie assez nombreux. Et la volonté affichée par plusieurs Etats, dont la France de se doter – officiellement – de cyber-armes devrait favoriser le développement du marché des vulnérabilités.
La vente d'exploits dans la zone grise
Si le nom de Vupen fait actuellement la une des grands médias aux Etats-Unis, l’entreprise française n’est cependant pas le seul fournisseur potentiel de vulnérabilités logicielles et d’exploit Zero-Day à la NSA. Quant au commerce de vulnérabilité, illégal comme légal, il n'est pas nouveau.
TippingPoint, filiale d’HP, dispose depuis plusieurs années d’un programme d’achat de vulnérabilités. En 2010, NSS Labs a ouvert une place de marché pour la vente et l’achat d’exploits, à l’exclusion toutefois des Zero-Day. Ce n’était en revanche pas le cas d’une autre place de marché, la controversée WabiSabiLabi, fermée depuis et son fondateur arrêté.
Légalement, Vupen est-il lui autorisé à vendre de telles prestations et produits de sécurité ? Le patron de l'entreprise assure que oui. Mais selon un avocat cité par Silicon.fr, l’article 323-3-1 du code pénal interdit la commercialisation et la diffusion d’exploits - pour trancher définitivement, encore faudrait-il cependant que la justice soit saisie et se prononce sur le caractère licite ou non de l'activité de Vupen.
L'article cité du code pénal a été introduit en 2004 et motivé par la volonté du législateur de durcir la lutte contre la cybercriminalité. Celle-ci avait alors été vivement critiquée par les experts en sécurité, dont Chaouki Bekrar lui-même, car susceptible de criminaliser différentes activités de recherche en cybersécurité.
Mais une nouvelle directive européenne (n° 2013-40/UE du 12 août 2013) interdit visiblement aussi une telle activité commerciale. Le cabinet d'avocats Courtois Lebel, dans un communiqué relatif à la nouvelle directive, cite ainsi l'article 7 :
« L'incrimination de la production, de la vente et de l'obtention des outils (programmes) ou dispositifs (code d'accès) conçus pour commettre » une des infractions pénales définies, comme l'accès illégal à un système d'information  ou l'interception illégale de données.

Aucun commentaire:

Publier un commentaire