Discussion :

[Michael Guilloux]

EFF : l’US Navy cherche à payer les vulnérabilités zero-day pour les exploiter
Les logiciels les plus utilisés sont ciblés

L’US Navy, la marine de guerre des Etats Unis serait à la recherche d’informations sur les vulnérabilités zero-day et d’autres exploits selon l’Electronic Frontier Foundation (EFF). Les allégations de l’EFF, se fondent sur une annonce publiée sur Fedbizopps.gov, un site pour les agences gouvernementales US.

Comme le rapporte l’organisation non gouvernementale de défense de la liberté d’expression sur Internet, l’annonce décrit un appel d’offre pour des renseignements sur les vulnérabilités dans les logiciels les plus largement utilisés. La liste non exhaustive comprend des produits Microsoft, Adobe, Android, Apple entre autres. Loin de vouloir corriger ces failles, l’objectif du gouvernement américain pourrait être d’exploiter des vulnérabilités que personne ne connait à fin de fin de surveillance de masse.

Selon l’annonce, le spécialiste des failles zero-day recherché devrait en effet « fournir au gouvernement un projet de liste des vulnérabilités disponibles, 0-day ou N-day (ne datant pas de plus de 6 mois) ». Le Gouvernement devrait ensuite faire ses choix dans la liste fournie et superviser le développement de binaires d'exploits.

Le fait que le gouvernement américain utilise des vulnérabilités zero-day pour des offensives de collecte de données et d’espionnage au lieu de les communiquer aux développeurs ne date pas d’aujourd’hui. L’EFF rapporte que le gouvernement a privilégié la surveillance de masse à la sécurité de millions d’utilisateurs. Il aurait même mis en place « un processus de prise de décision de haut niveau » entièrement classé, relatif à la divulgation de vulnérabilités et connu sous l’appellation de Vulnerabilities Equities Process (VEP).

Si les activités du gouvernement US ne sont alors pas inconnues, le récent appel d’offre de l’US Navy semble par contre un peu osé surtout que l’annonce a été faite sur un site accessible au public. Toutefois, il semble que la marine de guerre des Etats Unis ne voulait pas attirer l’attention du public. En effet, après que le chercheur Dave Maass de l’EFF – celui qui a repéré l’annonce – a posté un tweet relatif à l’appel d’offre, l'annonce a été immédiatement retirée dans la foulée. L’organisation de défense de la liberté d’expression sur Internet a cependant pu télécharger la copie en cache de Google.

Source : Electronic Frontier Foundation

Et vous ?

Qu’en pensez-vous ?

[benjani13]

Ce n'est pas du tout un scoop que les gouvernements achètent des 0days. Il existent des entreprises de sécurité spécialisées dans la recherche de 0day et leur revente aux états (Vupen par exemple). Mais c'est effectivement étrange de voir une annonce publique comme celle là.