Zero-days : analyse des marchés noirs des outils d’attaques numériques
Loïs Samain, Consultant Cybersécurité / Cyberdéfense – CEIS
Le marché des 0-days a évolué durant l’année 2015, aussi bien d’un point législatif que d’un point technique. On notera tout d’abord que de nouvelles boutiques en ligne sont apparues dans le DarkNet : certaines se sont spécialisées dans le commerce de produits à très haute valeur ajoutée, comme avec TheRealDeal qui se focalise sur la vente de codes 0-day et d’exploits. Les prix des 0-days se basent sur une règle du type « plus le nombre de vulnérabilités est faible, plus le prix augmente. » Pour une faille 0-day, ils varient entre 500 et 40,000 dollars. Cette année, le record revient à Zerodium pour une faille iOS 9.1/9.2b à 1 000 000 dollars.
Au niveau de la législation, le marché des 0-days a aussi évolué cette année. Le Bureau de l’Industrie et de la Sécurité américain (BHS) a proposé une transposition dans la loi américaine de l’évolution de l’arrangement de Wassenaar de décembre 2013 : en plus des logiciels d’intrusion et de communication ajoutés dans cette nouvelle version de l’arrangement, les Etats-Unis y ont joint la recherche et l’exploitation de vulnérabilités 0-days. Un fort levé de boucliers de la communauté a poussé la BHS à réfléchir à une nouvelle transposition de l’arrangement de Wassenaar, malgré que déjà plus de 30 états américains appliquent cette règle.
Le métier de Bug Bounty a aussi évolué cette année dans sa professionnalisation. En plus de nombreuses plateformes (HackerOne, BugCrowd ou encore FireBounty), les primes pour la découverte d’une vulnérabilité ont considérablement augmentés et les sociétés sont de plus en plus hétérogènes. Les récompenses se diversifient aussi, jusqu’à proposer des points Miles pour United Airlines. Enfin, avec l’apparition de Zerodium, un nouveau modèle de grossiste est apparu, avec une tarification claire et des primes très élevés pour des demandes très précises.