« Nous achetons du Zero Day accompagné de son exploit, surtout si celui-ci concerne un navigateur, un noyau, un lecteur de fichier multimédia, des téléphones mobiles, des serveurs Web ou d’applications, des applications Web… et tout ce qui pourrait tourner autour, des équipements réseau aux passerelles et produits de sécurité ». Le programme qu’affiche Zerodium sur sa page de garde ne laisse planer aucun doute, Vupen, après son installation aux USA, diversifie sa collecte de matière première.
Jusqu’à présent, l’entreprise de Chaouki Bekrar effectuait ses propres recherches de faille, développait ses propres exploits. Un fonctionnement en interne garantissant à la fois une maîtrise et une cohérence des processus d’écriture. Mais la militarisation intensive du marché de l’exploit nécessite parfois un volume de production qu’il est difficile de maintenir en permanence. «Nous payons beaucoup, nous exigeons des fournitures de qualité, à la hauteur de nos tarifs et des espérances de nos clients, généralement des organisations gouvernementales, financières ou des nouvelles technologies » affirme en substance la FAQ . Mais la valeur d’achat des exploits n’est pas divulguée, chaque travail étant discuté de gré à gré selon son efficacité, la taille de sa cible potentielle et son degré de furtivité.
Cette création d’entreprise (et diversification d’activité) survient quelques semaines après le scandale Hacking Team, après que bon nombre de médias grand public aient littéralement découvert l’existence de ce marché du trou de sécurité et son intrication avec le monde du renseignement.
Un mouvement stratégique et politique
Car il n’y a pas de hasard dans cette création d’entreprise. « Grâce » à l’affaire Hacking Team et plus particulièrement aux courriers mentionnant son refus de traiter avec le Kurdistan, Vupen sort grandi de cette histoire. Son intégrité n’est plus à mettre en doute, l’entreprise se situe bien du côté des « gentils occidentaux ». C’était maintenant ou jamais qu’il fallait lancer Zerodium, même si le projet traînait déjà dans les cartons depuis quelques temps. Le moment est à la fois politiquement bien choisi et stratégiquement opportun.
Stratégiquement, car le marché des cyber-armes est en plein développement d’une part, et commence à soulever quelques questions éthiques d’autre part, surtout depuis la publication des fichiers Snowden et la révélation des activités de Hacking Team. Interrogations qui pourraient bien conduire à l’établissement d’un contingentement des armes et des fabricants d’armes patentés, et par conséquent interdire l’apparition de nouvelles initiatives ou bloquer les développements des sociétés déjà en place.
Pourquoi un contingentement ? Parce qu’indirectement, l’affaire Hacking Team est l’évolution civile et commerciale logique des affaires des écoutes de la NSA ou des armes logicielles à la Stuxnet. Parce qu’il apparaît clairement qu’officieusement, les USA et les principaux Etats d’Europe, parfois par le biais de sociétés privées, pratiquent, sur le front des NTIC, ce que l’on appellerait des « incursions tactiques » chez les uns et « de graves ingérences dans les affaires d’un pays » chez les autres. Et que, pour mieux jeter un voile pudique sur ce marché des armes informatiques et imposer le secret sur les transactions, rien de tel qu’un accord Wassenaar, qui fera taire les journalistes et fuir les curieux. Le contingentement est inévitable, il fait l’objet de campagnes de presse adroitement orchestrées depuis plus de deux mois aux Etats-Unis.
C’est donc maintenant et pas plus tard que Bekrar devait agir. Car le marché est quasiment sur le point de se stabiliser, voire de se figer, autour de deux axes principaux. Les fournisseurs d’exploits « certifiés » par les Anssi et autres DoD, sous-traitants privilégiés des agences à trois (ou quatre) lettres, ayant patente de vente pour les produits finis et licence d’achat pour les matières premières. Et les francs-tireurs, les Hacking Team, les Crypto AG dont le blason, terni pour maintes raisons, ne peuvent trouver d’autres débouchés que sur le marché noir ou gris. A terme, des techno-mercenaires qui travailleront pour le plus offrant que refusent d’alimenter les vendeurs « officiels », mais qui pourraient aussi bien œuvrer pour le compte des 5 ou 8 yeux lorsqu’une implication directe semblerait trop compromettante ou risquée.
L’existence même de ces « gendarmes katangais du code » est parfois comparée à l’activité des « pirates incontrôlés » (ou groupe de patriotes qui agissent spontanément) de Chine ou de Russie et qui font souvent la manchette des journaux. Des troupes de cyber-assaut d’ailleurs spécialisées dans le harcèlement de sites Web et le déploiement d’APT, des troupes qui nécessairement disposent de leur propre marché des exploits, pour l’heure encore très peu cartographié. Garçon, un Coca-Root Beer, à la cuillère, pas au shaker.