Vulnérabilités : la question centrale de la gouvernance
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
![Image La ville de Saint-Nazaire victime d’une [cyberattaque]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
Simples passionnés, véritables professionnels ou organisations criminelles, les chercheurs de vulnérabilités présentent des réalités très disparates. Comment les failles qu’ils découvrent sont-elles traitées et exploitées ? Quel est le rôle des brokers ? Et quelle gouvernance s’applique à cette activité parfois très lucrative ? Est-elle efficace au plan international ?
Le profil des chercheurs de vulnérabilités est très varié. Il peut tout d’abord s’agir de toute personne passionnée d’informatique cherchant à renforcer la sécurité des outils qu’elle utilise au quotidien, ou de développeurs impliqués au sein d’une communauté open source et qui contribuent à faire évoluer une solution logicielle donnée. Leur action est la plupart du temps désintéressée.
D’autres parviennent cependant à générer quelques revenus complémentaires à leur activité, voire à en vivre presque intégralement, grâce notamment aux plateformes de bug bounty comme HackerOne, YesWeHack et Yogosha qui encadrent de manière très sérieuse cette activité.
« Le secteur de la recherche de vulnérabilités s’est beaucoup professionnalisé ces dernières années, des spécialisations sont apparues, autour notamment du mobile, du hardware, des technologies embarquées, du Bluetooth, de l’IoT… Et plus c’est spécialisé, plus la force d’une plateforme crowdsourcée est précieuse », déclare Rayna Stamboliyska, auteure de “La face cachée d’Internet” aux éditions Larousse.
Brokers : le flou et l’opacité
Enfin, certains chercheurs de vulnérabilités, sans trop se poser la question de savoir ce que vont devenir leurs trouvailles, revendent les failles qu’ils ont identifiées à des brokers (courtiers). Ces entreprises ont comme modèle économique de commercialiser les vulnérabilités découvertes au plus offrant. Ce dernier peut par exemple être un État qui s’en servira de manière offensive contre un autre État ou une organisation cybercriminelle qui l’utilisera pour espionner les activités d’un grand groupe ou lui soutirer de l’argent via un rançongiciel.
« La question de savoir ce que deviennent les vulnérabilités soumises aux brokers est une vraie question. Cela reste des suppositions mais les vulnérabilités sont soit rachetées par les éditeurs, pour améliorer le niveau de sécurité de leurs solutions, soit exploitées par des entités offensives, comme des États ou des organisations criminelles qui s’en servent à des fins malveillantes. Le fonctionnement des brokers est globalement assez opaque », déclare un expert du marché qui préfère rester anonyme.
Comparées aux récompenses proposées par les plateformes de bug bounty, les grilles de rémunération de certains brokers sont très alléchantes. Le site Zerodium propose ainsi une grille pouvant aller jusqu’à 2,5 millions de dollars pour des vulnérabilités zero-day touchant Android et 2 millions de dollars pour iOS.
« Ce broker de vulnérabilités est ‘borderline’ de par les échanges qu’il permet et facilite. Outre les responsabilités de transparence des États vis-à-vis de ce genre de plateformes, on constate aussi qu’il semble n’y avoir que peu de répondants lorsque des vulnérabilités zero-day touchant les produits d’éditeurs se retrouvent en vente chez un courtier », s’étonne Rayna Stamboliyska.
Les États sont-ils complètement transparents sur leurs activités en matière de vulnérabilités ? Rien n’est moins sûr. À ce jour, seuls les États-Unis ont formulé une doctrine en la matière. Baptisé Vulnerabilities Equities Process (VEP), ce processus d’évaluation des vulnérabilités est utilisé par le gouvernement fédéral américain pour déterminer, au cas par cas, comment les vulnérabilités de sécurité informatique de type zero-day doivent être traitées. Faut-il les divulguer afin de contribuer à l’amélioration de la sécurité informatique générale ou les garder secrètes pour les utiliser de manière offensive contre d’autres États ?
Un vrai sujet de société et de « vivre-ensemble »
« Les vulnérabilités, dont les zero-day sont, à l’origine, un sujet purement technique. Mais elles doivent devenir, à un moment donné, un sujet de gouvernance. Autrement dit, elles représentent un vrai sujet de société et de ‘vivre-ensemble’ car elles impliquent des questions de responsabilité, de redevabilité et de transparence », analyse Rayna Stamboliyska.
Un certain nombre de textes internationaux viennent encadrer le commerce des vulnérabilités. Créé en 1996 par 33 États (42 aujourd’hui), l’Arrangement de Wassenaar est certainement le plus connu. Ce régime multilatéral de contrôle des exportations a été mis en place dans le but de coordonner les politiques des États signataires en matière d’exportation d’armements conventionnels et de biens et technologies à double usage.
Les biens et technologies à double usage sont, dans le secteur des logiciels, des produits initialement conçus pour un usage civil et susceptibles d’être détournés par leurs utilisateurs à des fins militaires, terroristes ou d’abus des Droits de l’Homme. Sont concernés les logiciels d’intrusion, les systèmes de cybersurveillance, les exploits et les failles zero-day.
« De par son caractère non contraignant, l’efficacité de l’Arrangement de Wassenaar est limitée. Les États participants n’ont aucune obligation de transposer les listes des produits concernés dans leur droit interne. Les États-Unis n’ont par exemple pas transposé un certain nombre de dispositions sur les vecteurs de logiciels d’intrusion. Et si l’on regarde le contenu même des dispositions, l’impact de l’Arrangement de Wassenaar est extrêmement faible », déclare Aude Gery, Docteure en droit international public de l’Université de Rouen et chercheuse au sein de GEODE, Centre de recherche et de formation pluridisciplinaire sur les enjeux stratégiques de la révolution numérique.
Arrangement de Wassenaar : les chercheurs en sécurité inquiets
D’autres critiques à l’encontre de l’Arrangement de Wassenaar émanent de la communauté des chercheurs en sécurité. Un certain nombre de biens listés par ce texte sont en effet utilisés au quotidien par ces personnes. Les chercheurs en sécurité ont craint de voir leurs signalements de failles à des entreprises étrangères soumis à déclaration et autorisation des États, ce qui a été exclu en 2017 et 2019 pour la notification responsable de vulnérabilités et la réponse à incidents. Toutefois, les inquiétudes persistent car le manque de transparence sur l’interprétation des dispositions est source de questionnement.
La réforme du droit de l’Union européenne en matière d’exportations de biens à double usage est, quant à elle, entrée en vigueur très récemment, en septembre dernier. Elle étend les conditions dans lesquelles les exportations doivent être refusées, notamment en cas de violation grave des droits de l’homme. Mais, encore une fois, la question est de savoir comment ce point doit être interprété.
« Globalement, pour tous ces sujets, il y a énormément de questions d’interprétation qui se posent et il faudra voir quelle est la pratique des États en la matière. Dans ce domaine, on se heurte souvent à un problème de transparence. C’est un sujet qui est extrêmement sensible. J’attends de voir les rapports produits par les États et leur transparence avant de mesurer l’impact de telle ou telle disposition », conclut Aude Géry.