Discussion :

[Patrick Ruiz]

Que faire en tant que gouvernement pour obtenir des exploits zero-day ?
C’est simple, il suffit de suivre l'exemple d'Israël

Il y a bientôt un mois que le cas Zerodium a une fois de plus été évoqué sur cette plateforme. Il s’agit d’une startup fondée en 2015 et basée à Washington. Elle intercepte les hackers grâce à des incitatifs financiers substantiels, récupère les exploits zero-day en leur possession et les revend à des agences gouvernementales. Bien évidemment, le carnet clients des entreprises spécialisées dans la filière est généralement classé secret défense. Une récente publication du magazine Vice vient apporter la lumière à ce sujet.

Les enfants savent bien s’y prendre quand il s’agit d’obtenir quelque chose ; généralement, ils formulent leur demande sans détour. C’est exactement ce qu’Israël a fait en 2015 lorsque, par le biais d’un membre de sa mission diplomatique aux États-Unis, le pays a adressé une correspondance à des entreprises américaines spécialisées dans le développement d’exploits zero-day. Motherboard a obtenu copie de cette dernière ajoutée comme fichier joint à un courriel adressé aux firmes contactées.

« Le ministère de la Défense du gouvernement d’Israël est intéressé par la recherche et le développement en matière de vulnérabilités, ainsi que par des exploits zero-day ciblant une large gamme de plateformes et technologies pour accompagner les forces de l’ordre dans leur travail », peut-on y lire.

« Il s’agit d’une demande d’information standard. J’en ai vu plusieurs dans le même genre émanant de différentes agences gouvernementales américaines », rapporte Motherboard des propos d’un hacker qui a requis l’anonymat (comme d’autres impliqués dans ces développements). Le membre de la mission diplomatique israélienne à l’origine du courriel s’est lui aussi refusé à aller à tout commentaire. Il semble donc bien que les gouvernements procèdent généralement ainsi pour obtenir des exploits zero-day grâce auxquels leurs services de renseignement peuvent espionner les possesseurs de téléviseurs, smartphones, etc.

Israël est reconnu comme un des leaders mondiaux en matière de cyberespionnage. Le pays compte le fameux NSO Group - une entreprise israélienne spécialisée dans l’assistance technique aux gouvernements pour l’espionnage de terminaux mobiles et le développement d’armes numériques – dans son arsenal. Apple a dû corriger trois failles zero-day permettant d’espionner les utilisateurs d’iPhone en 2016. Le pot aux roses avait été découvert par les chercheurs en sécurité de Citizen Lab – une émanation de l’université de Toronto au Canada – qui ont pu lier les vulnérabilités au spyware Pegasus conçu par cette entreprise.

L’épisode de la lettre vient confirmer que le pays garde les yeux sur les meilleurs talents mondiaux en matière de surveillance et de développement de logiciels espions et se positionne comme un pôle d’attraction pour ces derniers.

Source

Lettre

Votre opinion

Qu’en pensez-vous ?

Voir aussi

Des documents du NSO Group indiquent comment l'entreprise choisit les clients à qui elle vend son spyware, mais aussi le montant de la facture

[BufferBob]

ça fait des années que ça existe et que ça se sait, en France y'a Vupen par exemple qui fait exactement la même chose que Zerodium, depuis beaucoup plus longtemps (anciennement FrSIRT si je me souviens bien, ~2004/2005 par là)

[NBC_93_mate]

lu sur wikipedia:

"Vupen ceased trading in 2015, and the founders created a new company Zerodium."

[lpinformatique]

Vupen C'est Zerodium...

[BufferBob]

lu sur wikipedia:

"Vupen ceased trading in 2015, and the founders created a new company Zerodium."

Vupen C'est Zerodium...

ah, ben du coup forcément preuve que ça fait vraiment longtemps que les gouv se ravitaillent là bas

[pascaldm]

Zerodium a été créé par ‎Chaouki Bekrar et Isabelle Gorius en 2015 à Washington DC pour être à moins de 40 Km de la NSA située à Fort Meade dans le Maryland.

En fait, Bekrar a signé plusieurs contrats avec la NSA à partir de 2012 (au moins) pour fournir des 0 day, des reverses et des exploits clef en main via sa société VUPEN Security alors installée à Montpellier. Cette information avait fuité grâce à une requête pour la liberté de l'information de la loi FOIA (Freedom of Information Act).

VUPEN avait ensuite déménagé en 2014 à Annapolis dans le Maryland (proche de la NSA son principal client) après qu'un amendement concernant l'arrangement Wassennar portant sur l'export d'arme informatique complique son fond de commerce. VUPEN a donc été liquidé en 2015 et Bekrar a créé avec Isabelle Gorius Zerodium en 2015 au US.

J'ai croisé des anciens de VUPEN depuis 2014 qui participaient au concours Pown2Own gagné systématiquement par VUPEN de 2011 à 2014... Cette célébrité a permis la reconnaissance de VUPEN sur le marché du 0 day.

Aujourd'hui, Zerodium est plus un revendeur d'exploits qu'un chercheur. C'est un marketplace du 0 day qui achètent des exploits aux chercheurs en sécurité pour les revendre aux services de renseignements (de tout pays ?) et peut être aussi à d'autres acteurs. Les services de renseignement (principalement NSA et CIA) achètent des vulnérabilités pour produire leur outils opérationnels dont wikileaks ou Snowden annoncent régulièrement des leaks. Les vulnérabilités étant patchées au fur et à mesure, ces outils nécessitent une alimentation continue en vulnérabilités inconnues ce qui développe le marché du 0 day.