L’éternelle question du recul progressif du full disclosure face à l’attrait de plus en plus important des « offres gouvernementales occultes » sur le marché de l’exploit et des talents n’est plus un débat d’initié. Joseph Menn, de l’Agence Reuters, a rédigé un papier aussi synthétique que complet sur le sujet. Papier qui met immédiatement le lecteur dans le ton en rappelant que les U.S. intelligence and military agencies n’achètent plus d’accessoires de hacking pour parer une attaque mais préfèrent utiliser ces ressources pour en faire des outils d’espionnage. D’officiellement défensif il y a quelques années, les ZDE et autres trous plus ou moins documentés sont transformés en une panoplie d’armes offensives. La première conséquence, explique Menn, est un appauvrissement du flux d’informations à destination des éditeurs, donc une occultation des failles pouvant être corrigées. Appauvrissement qui ne pourrait être compensé que par une « prime au trou » moins symbolique qu’elle ne l’est actuellement.
Cette situation entraîne quelques effets pervers, car parfois, des armes que l’on soupçonne d’origine étatique peuvent être analysées et exploitées à leur tour par des réseaux mafieux, en toute tranquillité puisque précisément il n’existe aucun correctif contre cet exploit militarisé. Duqu appartient très probablement à ce genre de famille. De fortes présomptions laissent penser que ce virus est l’œuvre des services spéciaux US, en raison d’un certain nombre de points communs que l’on retrouve dans les « gènes » de Stuxnet. Mais des morceaux de Duqu, on en retrouve également dans des Blackhole, des Cool et autres « exploit kits » diffusés par des cyber-truands.
Mais ces hypothétiques dommages collatéraux sont sans importance pour les businessmen de la faille et du ZDE. De toute manière, ces sous-traitants travaillant pour un (ou plusieurs) gouvernements ne peuvent jamais être certains que leur vendeur ne se livre pas à un double jeu, commercialisant ses œuvres à la fois au milieu de la cyberdéfense militaire et aux acheteurs du milieu. A plus de 50 000 dollars par Zero Day, qui ne serait pas tenté ? C’est ce qui expliquerait certains points de ressemblance entre le virus Zlob, d’origine mafieuse Russe, et Stuxnet, cyber-flingue supposé écrit par les services secrets US. Sans oublier les probables coïncidences… les chercheurs évoluent dans un milieu agité par de nombreuses « tendances », consultent plus ou moins les mêmes canaux d’information, et peuvent naturellement être plusieurs à découvrir une faille ou famille de failles plus ou moins au même moment.
Dans ces conditions, il est tout à fait logique que s’engage une course à l’armement numérique. Chaque Etat-Nation, chaque entité ou groupe mafieux constitué cherche alors à posséder son propre arsenal offensif pour instaurer soit une sorte de force de persuasion (si vis pacem, para bellum) soit une armurerie efficace assurant un rapide retour sur investissement. Les prix des exploits ne peuvent qu’augmenter dans les années à venir.
La partie la plus visible de cet iceberg économique, ce sont les vendeurs d’exploits officiels, les Vupen, les Cesar Cerrudo, les Moxie Marlinspike, les ReVuln, jeune entreprise fondée par l’un des plus grands chasseurs de failles, Luigi Auriemma. Des « industriels du sploit » qui affirment franchement leurs règles morales, leur volonté de ne pas vendre leurs œuvres à des pays à tendance totalitariste ou ouvertement adversaires de leur propre pays… mais il en va des cyber-armes comme des armes physiques. Rien ne peut garantir le fait que l’acheteur ne cherchera pas à revendre à son tour l’exploit qu’il vient d’acheter. L’usage de ces outils se pratiquant de manière très discrète, il est pratiquement impossible de tracer ou même soupçonner ces pratiques. Un « point de détail » que ne soulève pas notre confrère de Reuters, d’autant plus difficile à déceler que les champs d’application et d’utilisation sont nombreux. De l’exploit java à la faille découverte sur un logiciel Scada très spécialisé, en passant par l’injection de code destinée à un périphérique utilisant un protocole cryptique, ces exploits passent inaperçus. Aucun firewall ne les filtre, aucun antivirus ne les détecte, aucune sandbox ne les retient.
Un arrangement de Wasenaar pour les armes binaires ?
Le principal danger de ces armes, c’est leur risque de prolifération et l’absence de contrôle que les Etats pourraient imposer. En France, le précédent Amesys a montré combien les règles morales que s’imposaient des Vupen ou des Cerrudo ne pesaient pas lourd dès que les décisions se diluaient dans des chaînes hiérarchiques et la course à la rentabilité. Ce sont les mécanismes de la « banalisation du mal » d’Arendt vigoureusement mélangés avec deux doigts d’amoralisme du capitalisme de Comte-Sponville. « J’obéissais aux ordres », « Je ne pouvais pas savoir », « d’autres l’auraient fait à ma place » et « la Raison d’Etat » sont autant de leitmotiv que l’on a entendu durant le Printemps Arabe notamment, période durant laquelle le grand-public a compris qu’une cyber-arme pouvait conduire à de véritables morts, à de véritables tortures. Certes, sans l’éclat tonitruant des cyber-Armageddon annoncés par une presse à sensation, sans barrage qui explose sous la pression d’un virus, sans crach boursier conséquence d’une formidable attaque en déni de service.
Et c’est probablement en raison de cette absence de véritable catastrophe visible qu’il est peu probable de voir prochainement le commerce des exploits assimilé à des armes de guerre. A ceci s’ajoute d’autres considérations. Les exploits demeurent, même à raison de 100 000 Euros pièce, des vecteurs militaires relativement économiques comparés à l’investissement nécessaire au développement d’un système d’arme. Munitions peu coûteuses et multipliables à l’infini, qui peuvent être exportées sans le moindre document, voir être expédiées de manière totalement invisible dans le flux des échanges IP, les exploits offensifs n’ont aucun intérêt à être classés « matière dangereuse », du moins pas en totalité. En admettant même que les systèmes les plus visibles (équipements de filtrage/DPI, systèmes d’écoute et d’intrusion nécessitant une base électronique spécifique) soient un jour contingentés, il existera toujours un marché réservé aux « affreux » et aux contrebandes destinées aux républiques bananières.
Pourquoi faire un lien entre Vupen et Amesys, ce sont deux entreprise différentes qui travail sur deux secteur différents.
Et à ce que je sache, Vupen n’a pas été inclus dans les scandales du printemps arabe.