 |
|
|
|
| |
Il n’y a encore pas si longtemps, quand un chercheur en sécurité informatique identifiait une vulnérabilité dans un système d’exploitation ou dans une application, son premier réflexe consistait souvent à clamer haut et fort sa découverte.Selon son choix éthique, il pouvait alors soit prévenir l’éditeur du composant vulnérable, soit directement publier la faille sur l’une des nombreuses listes de diffusion et forums dédiés à cet effet, et parfois même la révéler par voie de presse.L’intérêt et la motivation pour l’inventeur était alors d’améliorer la sécurité intrinsèque du produit concerné, mais surtout d’assoir sa réputation et sa compétence.A contrario, quand la nouvelle vulnérabilité était découverte par un pirate, ce dernier pouvait aussi se tourner vers le marché noir d’échange et de vente de codes d’exploitation, construits autour de la faille « Zero Day » qu’il a trouvée, et permettant par la suite de pratiquer les diverses attaques liées à la cybercriminalité.Mais les temps ont changés, et désormais vous avez une véritable possibilité de proposer à la vente votre découverte à des acheteurs légaux : En effet, des agences gouvernementales, des sociétés de tests d’intrusions, ou encore des fournisseurs de solutions de détection d’intrusions sont prêts à vous payer très cher pour ce type d’information.C’est sur ce nouveau phénomène de marché légal de vente de vulnérabilités que Charlie Miller, un chercheur en sécurité, publie une étude forte intéressante, notamment illustrée par la vente réussie d’une faille de sécurité sur un démon Linux à une agence gouvernementale américaine, et le tout pour un montant de 50.000 USD !Ceci étant dit, il est bon de rappeler aux chercheurs français qui seraient tenté par l’aventure que la recherche en vulnérabilité nécessite souvent la mise ne œuvre de techniques telle que l’ingénierie inverse, ce qui est parfaitement illégal sans l’accord préalable de l’éditeur … A bon entendeur salut !
|
|
|
