Exclusivement connues des experts informatiques il y a encore de cela quelques années, les failles “zero day” commencent à se démocratiser auprès du grand public. Récemment, la somme promise d’1 million d’euros [par l’entreprise Zerodium], à qui trouvera une faille informatique dans le nouveau logiciel iOS 9 qui équipe les iPhones, a mis en exergue l’enjeu financier de ces “zero day”. Mais une telle monétisation de la vulnérabilité des systèmes, et avec eux, d’un grand nombre de nos données personnelles, est-elle réellement saine ?!
Qu’est-ce qu’une faille “zero day” ?
Le terme de faille “zero-day” désigne une vulnérabilité informatique dont l’éditeur d’un logiciel n’a pas encore connaissance, ou qui n’a pas encore été corrigé. Cette définition est notamment reprise par l’Agence nationale de sécurité des systèmes d’information (ANSSI) dans un “guide de prévention et des bonnes pratiques” ce qui révèle l’importance de ces failles dans le paysage numérique actuel.
Afin de comprendre l’enjeu économique de ces “zero day”, il faut préciser que celles-ci font l’objet d’exploitations (on parle de “zero-day exploit”), qui visent à lancer des attaques contre les installations présentant une faiblesse informatique. Se faisant, le hacker à l’origine du “zero-day exploit” peut prendre le contrôle d’un ordinateur, d’un logiciel ou d’un réseau, sans que la structure visée n’ait eu le temps de s’y préparer.
Ces éléments de définition laissent apparaître tout l’intérêt économique que représente de telles failles, et par là même, expliquent qu’un grand nombre de firmes se soient lancées à la conquête de ce nouveau marché.
Les failles “zero day”, le nouvel “Eldorado” des entreprises du numérique.
Avec le développement extrêmement rapide des technologies numériques, et avec elles, des failles “zero day” et de leur exploitation, un véritable marché s’est organisé autour de celles-ci. Ainsi, la détection par certains hackers de failles “zero day” peut être utilisée non seulement pour pénétrer clandestinement un système, mais également pour partager la découverte, contre rémunération, d’où l’important développement du marché du “zero day” au cours de ces dernières années.
Si initialement le “zero-day exploit” était réservé à des hackers isolés, il s’est aujourd’hui démocratisé au point de faire l’objet de multiples exploitations commerciales. Certaines entreprises, parmi lesquelles des firmes françaises (et notamment la plus connue, Vupen), se sont ainsi spécialisées dans la détection de ce type de vulnérabilité et monnaient leurs découvertes aux principaux intéressés (cela pouvant aller de l’éditeur du logiciel lui-même, à l’armée, voire aux services secrets…).
Cependant cette monétisation, en apparence anodine, n’est pas sans poser de problèmes…
Les problèmes liés à la monétisation des failles “zero day”.
Les entreprises ayant fait des failles “zero day” leur fonds de commerce sont plutôt discrètes, mais elles affirment régulièrement qu’elles réservent leur travail à des agences de renseignement, ou à des prestataires de la Défense. Cependant, eu égard à l’opacité de fonctionnement de telles entreprises, il n’est pas aisé de savoir concrètement qui sont les acteurs (acheteurs et vendeurs) de ce marché…Et cela pose de réels problèmes puisque, même si la plupart de ces entreprises nient travailler avec des régimes autoritaires, ou des organisations criminelles, il reste très difficile, pour ne pas dire impossible, d’en avoir la certitude…
A ce problème d’incertitude latente s’ajoute celui de la distorsion de législation au niveau international. En effet, plusieurs États (par exemple, l’Allemagne) interdisent toute recherche, publication ou vente des failles “zero day”. D’autres, qui pour le moment tolèrent le “zero-day exploit” (notamment les USA), commencent à sérieusement réfléchir à la solution juridique à apporter à cette problématique. Enfin certains États, comme la France, ont une législation plutôt complexe et opaque concernant les failles “zero day”, au point qu’il est actuellement difficile de dire si leur exploitation est légale ou non….
Quoiqu’il en soit, les législations internationales étant très loin d’être harmonisées sur la question de l’exploitation de ces failles, celles-ci n’ont définitivement pas fini de faire parler d’elles…D’autant que la monétisation des “zero day” constitue incontestablement une menace pour la protection des données à caractère personnel, qui aujourd’hui plus que jamais, est un débat d’envergure internationale.
Ainsi, dans les années à venir, il sera essentiel de porter un regard attentif à ce marché des “zero day” et à toutes les problématiques qui gravitent autour, afin de s’assurer que celles-ci ne soient pas à l’origine de failles au sein de nos propres sociétés…
—
WYDRA Alexis
Étudiant en Master 2 de Droit de l’Économie Numérique à la Faculté de Droit, de Sciences Politiques et de Gestion de Strasbourg, et membre actif de l’association MédiaDroit.
