La team Vupen vendrait des failles aux gouvernements

4
107

Les hackers ont trouvé une nouvelle façon, totalement légale, de gagner beaucoup d’argent aujourd’hui. Lorsqu’ils trouvent une faille dans un navigateur, au lieu de prévenir l’éditeur du logiciel, ils vendent la vulnérabilité aux services d’intelligence de plusieurs pays.

Les pirates informatiques aideraient-ils les gouvernements à espionner leurs citoyens ? Il semble bien que oui. Des révélations faites par le magazine Forbes hier en disent plus sur ce système.

Il semble que ce type de vente soit possible, tant que le pays acheteur est approuvé par l’Otan. Le souci est que dans ce type de transactions, les pirates oublient l’éthique, et ne préviennent pas les éditeurs et les équipes de développement du logiciel concerné de la faille. Normal : ils ne veulent pas qu’elle soit patchée, sinon, elle perdrait toute sa valeur…

Ce que Forbes a écrit hier, c’est que la team Vupen (l’équipe française qui a gagné le Pwn2own cette année) mouille aussi dans ce genre de pratiques. Cette année, en marge du Pwn2own, Google avait mis en place son propre hackathon, Pwnium, dédié à Chrome. Si les dotations étaient plus élevées que celles du concours concurrent (sponsorisé par HP), il fallait noter une différence majeure : dans le cadre de Pwnium, il était obligatoire de communiquer les failles découvertes à Google (pour qu’elles puissent être patchées). Vupen a préféré garder ses secrets, et a préféré participer au concours de HP, en déclarant “Nous ne partagerions pas ces informations avec Google, même pour 1 million de dollars“.

Des “marchands de mort”

A la place, “ils préfèrent vendre ces exploits aux gouvernements, qui en font ensuite ce qu’ils en veulent, par exemple, espionner les citoyens“, affirme Forbes.

L’Open Society Foundation, très préoccupée des questions liées à la confidentialité, a qualifié la Team Vupen de “marchands de mort“, vendant “les balles de la cyber guerre“. Des analystes de Frost & Sullivan déclarent que les clients de Vupen paient près de 100 000 dollars par an, pour une sorte d’abonnement leur offrant un accès privilégié pour acheter les techniques de hack de l’entreprise (qui concernent de nombreux produits, Chrome, iOS, Word, Adobe Reader, etc.).

Des sources anonymes ajoutent souvent que le prix d’un seul exploit dépasse aisément plusieurs centaines de milliers de dollars. Et, même à ce prix, la technique n’est pas vendue avec une clause d’exclusivité.

 

Source : L’Informaticien

4 Commentaires

  1. Absolument incroyable, mais malheureusement ça ne date pas d’hier, prenez par exemple Karl Koch, ce célébre hacker qui a fricoté avec les service secret russe ( kgb ).

    Je vous laisse deviner comment il a finie, ceci dit ce n’est pas vraiment la même chose là,
    PS: sur ce genre de dossier les sources sont importante, je ne voit pas vraiment comment l’histoire est sortie.

    INFORMATION IMPORTANTE: connaissant les bienfait de l’argent sur l’homme et ayant l’habitude de ce genre d’affaire , il me vient une petite question, il y a t’il un rapport entre le fait qu’ils n’ait pas voulue donner la faille a google et cette annonce extremement grave si soudaine?

    GOOGLE = DELATEUR.

    excuser moi si je suis complètement a coter de la plaque , je n’est pas googler.

Les commentaires sont fermés.