Un document communiqué par la NSA prouve que l’agence de renseignements américains travaille avec l’entreprise française VUPEN Security, basée à Montpellier pour accéder à des informations sur des vulnérabilités et leur exploitation.
VUPEN est une entreprise française spécialisée dans la vente de failles de sécurité “0-Day” (encore inconnue) à quelques clients à travers le monde, et ce, avant même qu’un correctif ne soit publié. Cette dernière s’est notamment fait largement connaître lors des concours Pwn2Own visant les vulnérabilités des navigateurs Web.
L’agence de renseignement américaine a manifestement été sensible au savoir-faire de VUPEN. Le site MuckRock publie en effet un document obtenu après une demande FOIA ( Freedom of Information Act ; loi pour la liberté d’information ). Il montre que le 14 septembre 2012, la NSA a loué les services de VUPEN pendant un an.
Le contrat porte sur le service Binary Analysis and Exploits qui est défini sur le site de VUPEN comme ” une analyse profonde des binaires des vulnérabilités publiques les plus importantes basée sur le désassemblage, le reverse engineering, l’analyse de protocole et l’audit de code “.
Via ce service, VUPEN fournit chaque mois l’analyse de 15 à 20 vulnérabilités et de manière privée des exploits ou preuves de concept. Il est fait mention d’exploits 1-day, ce qui signifie que le succès d’une attaque est plus aléatoire dans la mesure où la cible peut avoir corrigé la faille.
Reste que l’on sait que des agences gouvernementales achètent également des exploits 0-day ou des techniques avec par exemple l’intention d’infiltrer les systèmes informatiques de suspects ou pour de l’espionnage.
Par le passé, le PDG de VUPEN, Chaouki Bekrar, a affirmé ne vendre qu’à des démocraties et pays de confiance, et donc pas à des régimes oppressifs. Le but officiellement affiché est de permettre d’évaluer des risques et protéger des infrastructures contre des cyberattaques et menaces. Il est aujourd’hui désigné comme un “opportuniste dénué de sens moral“.
Interrogé par Numerama, Bekrar déclare que “l‘intégralité des travaux de recherche et développement réalisés par VUPEN sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger pro-activement leurs systèmes et infrastructures contres des attaques sophistiquées et, dans certains cas, protéger leur nations“
Avec les récentes révélations sur la surveillance massive de la NSA, sa collaboration avec VUPEN interroge forcément…