Le 0day : la poule aux œufs d’or ?
Apogée médiatique
Travis Ormandy a encore frappé ! Ce chercheur en sécurité de chez Google, adepte de la transparence maximale en matière de faille de sécurité, fait encore parlé de lui. Non satisfait d’avoir publié sur le web une faille 0day au nez et à la barbe de Microsoft, celui-ci a développé et diffusé un exploit permettant d’accéder à tous les privilèges et d’exécuter n’importe quelle commande sur Windows 7 et Windows 8.
La notion d’0day (ZeroDay), ces failles découvertes mais non diffusées, est rentrée dans le langage du grand public grâce à la couverture médiatique de Stuxnet et aux relances fréquentes au sujet des cybers attaques gouvernementales. Les mises à jour régulières des éditeurs logiciels pour les corriger ont achevé de rendre le 0day courant pour les utilisateurs néophytes.
Un marché structuré
Ce qui se cache derrière le ZerdoDay, c’est un marché très structuré et très rentable. Chaque phase du processus de «production» d’un 0Day a ses acteurs reconnus, ses clients privilégiés, et bien sûr ses flux économiques.
La première phase est celle de la recherche à proprement parlé de la faille 0day. Il existe pour cela des « scanners » permettant des recherches automatisées comme Nexsus (gratuit) ou encore Acunetix ($ 6,350$ la licence perpétuelle pour les consultants). Pour certains éditeurs de solution, la méthode adoptée est tout autre. Google, par exemple, organise un concours international de recherche de faille sur ses produits. À l’issue, si la faille révélée répond à un certain nombre de critères (résistant à un redémarrage, sur une session ouverte,…) et si celle-ci est documentée, la récompense peut s’élever jusqu’à 150 000$. Récemment un groupe d’experts SSI de la société française Vupen ont repéré une 0day sur Chrome. Approché par Google pour revendre leur découverte au prix de 60.000$ par participants, le chef technique et directeur R&D Chaouki Bekrar a refusé : « Vupen n’a jamais eu l’intention de transmettre à Google ses secrets techniques, certainement pas pour 60.000 $ ».
La deuxième phase de la production d’0Day est la monétisation de la faille découverte. Vupen fait partie, tout comme Endgame ou Netragard, des sociétés spécialisées dans la découverte, l’achat et la revente d’information sur des vulnérabilités non publiques. Le prix de vente d’un exploit de la base de données de ces entreprises dépend de différents critères comme le nombre d’utilisateurs du produit ciblé, la difficulté technique de l’exploit… Voici (image suivante) un exemple des prix de base de faille 0day. Ces prix peuvent très vite croitre si le client exige que le contrat, qui comporte une clause de non-divulgation, contienne une clause d’exclusivité de la vente de l’exploit.
La troisième et dernière phase consiste en l’exploitation de l’0day. Encore une fois, il existe des outils dédiés à l’automatisation d’exploitation de faille. Parmi les plus connus et efficaces, il existe Metasploit (gratuit) ou encore Social Engineering Toolkit (SET) qui est plutôt orienté social engineering. Une fois l’0day exploité, il existe diverses solutions pour rentabiliser l’achat de l’exploit : chantage aux entreprises, revente de données volées, location de réseaux zombies… pour ne citer que les plus populaires.Au vu des prix de ces failles et étant donné le côté « secret » du domaine, peut-on avoir une idée du type de client de ce marché ? Selon Forbes, il semblerait qu’il s’agisse principalement de pays occidentaux, notamment l’Europe et les États-Unis. Ce sont d’une part, les meilleurs payeurs, et d’autre part les clients les plus sérieux. En effet, le marché russe, par exemple, est proche du milieu mafieux. Les risques à traiter avec ce type de vendeur peuvent être trop importants pour les biens et les personnes. La Chine quant à elle ne propose pas de tarif assez séduisant : le nombre important d’experts chinois revendant exclusivement leurs découvertes à leur pays a fait chuter le prix de l’0day.
Le rôle réel de l’0day
La production depuis janvier 2013 du « guide d’hygiène informatique » par l’ANSSI tente de diffuser un référentiel de bonne pratique pour la sécurité du SI. En effet, l’agence fait le constat que bon nombre de règles de base ne sont pas appliquées dans les entreprises. Parmi ces règles, le maintien à jour du parc logiciel de l’entreprise est trop peu respecté ce qui a pour conséquence d’ouvrir toutes grandes les portes du SI aux divers intrus potentiels. Nicolas Ruff, chercheur en sécurité informatique précise « j’ai acquis la conviction que le rôle du 0day dans l’arsenal numérique est largement surestimé. Beaucoup trop de systèmes et de réseaux sont vulnérables à des attaques autrement moins sophistiquées, telles que des failles de sécurité connues et corrigées par l’éditeur.» Selon Websense, seul 5% du parc installé est à jour d’une version non vulnérable de Java ou des mots de passe triviaux…
Sources :
http://blog.chromium.org/2013/03/pwnium-3-and-pwn2own-results.html