On en parlait depuis plusieurs mois déjà : depuis début juillet, Vupen ouvre officiellement son service de vente d’exploits et PoCs. Ces outils de tests de pénétration sont à destination des entreprises, des sociétés de services en sécurité spécialisées dans le pentesting et éditeurs de logiciels de protection. L’offre se place plus ou moins en concurrence de Core Impact ou de Canvas, mais, précise son fondateur Chaouki Bekrar, « Nous nous distinguons des autres de bien des manières. A commencer par le fait que chacune de nos publications sont documentées, avec binaire et source, le tout accompagné d’une documentation donnant des conseils d’utilisation et une liste précise des conditions de fonctionnement, et surtout d’une indication précise de l’exploitabilité de la faille visée. En outre, nous nous attachons à survoler l’ensemble du parc logiciel. Les applications clientes, notamment, qui constituent le « gros » des vulnérabilités ciblées par les malwares, mais également les serveurs, tels que Windows, Websphere… Et tout çà dans des éditions Françaises et Européennes, ce que n’assurent pas nos concurrents »
A l’heure H du lancement du service, Vupen possède déjà une collection de près de 150 codes, stock qui s’enrichit d’une vingtaine d’exploits par mois en moyenne. L’accès au service est ouvert sur la base d’un abonnement annuel, commercialisé aux environs de 20 000 euros pour les entreprises et sociétés de sécurité, et de 50 000 euros pour les éditeurs de sécurité. La différence de prix s’explique par différence de « profondeur d’information » fournie avec chaque PoC. Dans le premier cas, la documentation s’attache à expliquer la dangerosité de l’attaque potentielle, doublée du binaire de l’exploit, de son source commenté, le tout accompagné de quelques conseils d’utilisation. Il est évident que l’usage de ces outils nécessite une compétence certaine et d’une solide expérience dans le domaine du test d’intrusion offensif.
La version éditeur bénéficie en plus d’une analyse binaire complète du PoC, des causes de vulnérabilité et des méthodes de détection envisageables. L’on se trouve donc là en présence d’une aide à la conception d’outils de détection.