Vupen serait-il l’oracle qui dérange, le Calchas qui clame tout haut les vérités que personne ne veut entendre ? Depuis que l’entreprise Montpelliéraine a émis un communiqué vantant les mérites d’un exploit visant Chrome, la communauté sécurité s’est transformée en générateur aléatoire de réflexions éthiques profondes. Car les réflexions éthiques sont toujours profondes, surtout lorsqu’un chercheur avoue haut et clair ne pas souhaiter divulguer la nature d’un exploit. Du moins à ceux qui ne l’on pas acheté, le trou étant particulièrement réservé aux « acheteurs de services gouvernementaux » (aka espions, barbouzes et autres agents de renseignements).
Jusqu’à présent, cette pratique était connue, répandue, mais toujours occulte. Pour Brian Krebs, cette forme de divulgation sélective, cette sélection par l’argent interdit un colmatage de la brèche et donc… le risque que d’autres hackers moins scrupuleux (les « services spéciaux » seraient-ils eux-mêmes scrupuleux ?) puissent exploiter ladite faille. Google, de son côté, ne peut officiellement se porter acquéreur de la faille, ce serait admettre que la « l33t Prime » connaît deux poids, deux mesures… et une multitude de tarifs.
Côté Verizon, on parle d’extorsion caractérisée et l’on mélange, dans un joyeux concert, des histoires de brevets, de script kiddies… Verizon, grand opérateur, grand acteur du monde de la sécurité, n’aurait jamais été approché par des services de police ou de renseignements ? Voilà qui serait étrange. Mais peut-être est-ce en raison de la situation géographique de l’inventeur de la faille ? Le commerce des failles ne se limite pas aux seuls producteurs de logiciels de pentesting tels que Canvas et Core Impact. Chaque grande entreprise possédant un laboratoire de recherche travaille étroitement avec les différents services de police… alliance objective qui donne à l’un les renseignements techniques nécessaires à l’exercice de son travail, et à l’autre le coup de main et le muscle indispensable, parfois, pour que cesse l’activité d’un groupe devenu trop gênant pour l’économie numérique. Qu’il s’agisse des bureaux des CTO d’ISS, de Sophos, de F-Secure, de McAfee etc., l’on trouve toujours un diplôme, un certificat, un trophée portant l’estampille de la CIA, du FBI ou d’une autre agence, hochets offerts aux techno-geeks en remerciement des services rendus à la Nation. Quels services ? Sur ce point, les langues se délient rarement.
D’ailleurs, existe-t-il une morale du chasseur de failles lorsque ledit chasseur est lié aux lois du marché ? Inutile de fouiller dans les écrits d’André Comte-Sponville ou de Marx : il n’existe qu’une morale, celle du gain, celle de l’entreprise. Ce n’est pas de l’immoralité, mais de l’amoralité… nuance. Celle-là même qui faisait déclarer aux dirigeants de Symantec que leur devoir citoyen leur interdirait de détecter un « spyware d’Etat » tel que Magic Lantern. Vérité en deçà des Pyrénées, mensonge au-delà.
Propos plus mesurés pour Cédric Blancher, qui critique ouvertement le fait que la chose ait été portée sur la place publique. C’est là effectivement une « faute de goût ». Lorsque l’on fraye avec les services en marge de la légalité, cette attitude fût-elle dictée par la Raison d’Etat, on accepte de ne pas dévoiler les secrets de cuisine. Ils sont par nature et généralement assez peu ragoûtants et font partie du « non-dit » du milieu policier ou militaire. Il s’agit là, ajoute Cédric Blancher, d’un tout autre travail, qui ne mérite pas le qualificatif de « sécurité ». Les professionnels de la sécurité, eux, préviennent l’éditeur concerné, car la nature même du métier consiste à réduire la surface de vulnérabilité des systèmes des usagers et clients. Là, on peut parler de morale, d’éthique. Deux mots qui sont totalement inconnus dès que l’on franchit les territoires ténébreux des services spéciaux.
Pour Chaouki Bekrar, la question est un peu moins intellectuelle et se place sur le terrain de la rémunération du travail de chercheur. Un thème souvent évoqué par Charly Miller, Alex Sotirov et Dino Dai Zovi. Car le monde de la découverte de faille est un monde codifié, truffé de règles non-écrites, de menaces d’avocats, de risques de dérive mafieuse… un décalogue subtil, parfois contradictoire, qui pourrait s’énoncer ainsi
– La faille d’un éditeur jamais ne dévoileras à moins qu’une rustine celui-ci publie
– Les tarifs de ton trou jamais ne marchanderas, ou de maître-chanteur on te qualifiera
– Aux barèmes fixés par l’éditeur même tu te conformeras, car ce juge et partie des avocats aura
– Aux services de polices ton exploit donneras car patriotique toujours te montreras
– Certains sujets surtout tu sauras éviter. Un trou dans FlashPlayer n’est plus à disserter.
Et ainsi de suite…
Un exploit « post Stuxnet »
Une tendance pourtant semble échapper aux principaux observateurs du milieu. A moins qu’ils cherchent sagement à éviter d’aborder ce sujet si polémique : le précédent Stuxnet, la poussée médiatique des « APT », l’attitude des militaires américains au fil des dernières grandes conférences sécurité. Petit à petit, même la presse généraliste prend conscience que les « bugs » sont devenus des armes ouvertement employées par nos chères barbouzes, nos bien aimés flics, nos adorés militaires. Réelles ou fantasmées, les attaques des cyber-militaires en Géorgie, les pénétrations des espions Chinois dans les Ministères Européens ou Etats-Uniens, les discours bellicistes des Keynote-Speakers en uniforme prônant « a good offence as the best defense », certains indicateurs politico-militaires (notamment l’internationalisation des manœuvres CyberStorm, la concentration du CyberCommand US englobant la Navy, l’Usaf et l’Army…), tout çà indique que la militarisation de l’exploit binaire n’est plus un délire de journaliste ou d’auteur de polars. Et qui dit militarisation pense marchand d’armes, prix des munitions, contrats d’Etat. Dans cette optique, Vupen serait la version informatique de la Société Nationale des Poudres et Explosifs. Un métier qui, on s’en doute, ne « fournit pas », sans l’aval de son principal et unique client, de renseignements sur les détails de ses bombes. Reste que la SNPE ne diffuse pas ses vidéos publicitaires sur YouTube et préfère des médias plus discrets. La faute de Vupen se résume donc à un mauvais « faire savoir » plutôt qu’à un « savoir-faire » que personne ne condamne.
Cette position purement marchande est d’ailleurs confirmée par un rapide message de Chaouki Bekrar, patron de Vupen, qui déclarait récemment sur Twitter « We reported a pre-auth 0day we found in a SCADA srv. Yes, we report vulns for free when the affected vendor is not a multi-billion $ company ». La vente des failles est un business, avec ses règles et ses obligations marketing et promotionnelles.
NdlC Note de la Correctrice : Calchas (prononcer Calkass) était le devin très clairvoyant d’Agamemnon. Celui que la Belle Hélène appelait le Confident d’papa et le distinguait des cornichons qui, eux, sont confits dans du vinaigre.