« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez ni la technologie ni vos problèmes. » – Bruce Schneier. Eh bien, dans l’ombre des géants technologiques et de leurs bastions inviolables, se trame une bataille silencieuse mais lucrative : celle des zero-days.
Un lundi pas comme les autres, la startup Crowdfense a déballé sa nouvelle grille tarifaire pour des outils permettant à des hackers gouvernementaux de fracturer les défenses d’iPhone, d’Android, de navigateurs tels que Chrome et Safari, ainsi que de messageries comme WhatsApp et iMessage. Le marché des «jours zéro», ces vulnérabilités inconnues des fabricants, flambe, et Crowdfense est prêt à débourser des millions pour s’offrir ces clefs des champs virtuels.
Le tarif ? Entre 5 et 7 millions de dollars pour des failles iPhone, jusqu’à 5 millions pour Android, et des sommes similaires pour les diverses applications et navigateurs. À titre de comparaison, en 2019, la plus haute récompense n’allait pas au-delà de 3 millions de dollars. Visiblement, le prix de la tranquillité d’esprit a considérablement augmenté avec la difficulté croissante de percer les défenses logicielles.
« Le business des vulnérabilités non découvertes s’apparente de plus en plus à un Big Bang des prix. Un univers en expansion rapide où chaque erreur vaut son pesant d’or. »
Tandis que les Picsous de la tech, à l’image de Google ou Apple, renforcent leurs remparts, la besogne des hackers de l’ombre devient de plus en plus ardue. Et si dénicher une faille demandait auparavant l’œil de lynx d’un chercheur solitaire, il faut aujourd’hui une véritable équipe de Mission Impossible pour espérer débusquer ces précieuses aberrations.
L’augmentation des prix s’explique donc non seulement par la rareté des failles mais aussi par la montée en compétences requise pour les exploiter. Loin d’une vision dystopique où tiennent en otage nos chères technologies, ces tractations sur le marché noir s’apparentent plutôt à une course aux armements entre protecteurs des données et leurs potentiels profanateurs.
Des frontières éthiques tentent de se dessiner : Crowdfense assure suivre les sanctions imposées par les États-Unis, boudant ainsi des clients potentiels mais controversés. Et pourtant, dans les tréfonds de ces échanges monétaires, la question demeure : jusqu’où peut-on aller au nom de la sécurité?
Soit, le business des zero-days est en plein essor, animé par une demande grandissante et des récompenses toujours plus alléchantes. Mais derrière cette guerre de l’ombre, ce sont bien nos libertés et notre vie privée qui sont en jeu, souvent échangées au prix fort, sur l’autel de la sécurité. Un véritable pactole pour ces commerçants de l’ombre, qui, tout compte fait, ne doivent pas trouver leurs métiers si… « buggé ».
Source : Techcrunch