L'édition 2014 du concours de hacking Pwn2Own a vu les quatre principaux navigateurs Internet, Chrome, Firefox, Internet Explorer et Safari, ainsi que les lecteurs Adobe Flash et Adobe Reader tomber sous les assauts des experts en sécurité informatique. Parmi eux, la société Vupen a battu un record en se voyant attribuer 400.000 dollars sur les 850.000 dollars de primes qui ont été distribués. Cependant, cette entreprise française suscite la polémique pour ses pratiques commerciales.
au sommaire
George Hotz, alias GeoHot, est une célébrité dans la communauté des hackers. Il s’est distingué en réalisant le premier jailbreak de l’iPhone, puis s’est retrouvé dans le collimateur de Sony Computer Entertainment pour avoir déverrouillé une PlayStation 3 afin d’y installer des logiciels tiers. Il a participé au concours Pwnium organisé par Google, où il a gagné 150.000 dollars pour un exploit zero day sur Chrome OS. © Pwn2Own, HP
Chaque année, dans le cadre de la conférence sur la sécurité informatique CanSecWest qui se tient à Vancouver (Canada), se déroule le concours de hacking Pwn2Own qui met au défi les experts d'exposer des failles de sécurité dans les principaux navigateurs, systèmes d'exploitation ou logiciels. Alors que pour beaucoup de hackers, le prestige de l'exploit technique est une récompense suffisante, l'aspect financier a probablement aussi beaucoup compté pour cette édition 2014. En effet, entre la dotation du concours Pwn2Own sponsorisé par HPHP et le concours Pwnium organisé par GoogleGoogle, ce sont plus de 3,8 millions de dollars (2,7 millions d'euros) de récompense qui ont été distribués.
Commencé mercredi dernier, le Pwn2Own s'est achevé jeudi avec huit équipes qui ont vaincu les quatre principaux navigateurs Internet (Chrome, Firefox, Internet Explorer et Safari) ainsi que les lecteurs Flash et Reader d'Adobe. Elles se sont partagé 850.000 dollars pour 1,085 million mis en jeu. Le fait notable est le record battu par l'entreprise française Vupen qui, à elle seule, a raflé 400.000 dollars. Lors du premier jour de compétition, l'équipe Vupen a exposé des failles de sécurité zero day (inconnue jusqu'alors) dans Adobe FlashAdobe Flash et Adobe Reader ainsi que dans les navigateurs Firefox et Internet Explorer.
Triomphe au Pwn2Own de Vupen, une entreprise controversée
Les détails techniques de ces attaques ne sont communiqués qu'aux entreprises concernées, afin qu'elles puissent faire le nécessaire pour renforcer la sécurité de leurs produits. Ainsi sait-on juste que l'exploit contre Internet Explorer 11 est arrivé à contourner son système de confinement (sandbox)), ce qui a permis à Vupen d'empocher une prime de 100.000 dollars. Lors du second jour de compétition, la société française s'est illustrée en brisant les défenses de Google Chrome, réputé comme l'un des navigateurs les mieux sécurisés. Ce sont 100.000 dollars de plus sont tombés dans son escarcelle.
Vupen est une habituée du concours Pwn2Own, mais l'entreprise française suscite la controverse. En effet, sa vocation première est de faire commerce des failles de sécurité zero day qu'elle découvre. Voilà un an, Le Monde consacrait un article à Vupen et son fondateur, Chaouki Bekrar. On y apprenait que ce dernier avait fait scandale lors de l'édition 2012 du Pwn2Own en refusant la prime de 60.000 dollars offerte par Google pour une attaque réussie contre Chrome. « Selon la presse américaine, il aurait déclaré qu'il ne traiterait jamais avec Google, car il gardait ce type de trouvailles pour ses clients, qui payaient bien plus cher. Google avait répliqué en le traitant "d'opportuniste dénué de sens moral" », écrivait le quotidien.
Contrat avec la NSA
L'article explique que Vupen fait partie des entreprises qui monnaient leurs découvertes « au plus offrant, c'est-à-dire souvent à des organismes officiels -- police, armée, services secrets -- qui s'en servent pour traquer des délinquants, surveiller des entreprises et des gouvernements étrangers, ou leurs propres citoyens. » En septembre dernier, en plein scandale lié aux révélations d'Edward Snowden sur les pratiques des États-Unis en matièrematière de surveillance électronique, on apprenait que Vupen avait un contrat avec la NSA, l'agence américaine de renseignement.
Interrogé par le site Numérama, Chaouki Bekrar avait expliqué que « l'intégralité des travaux de recherche et développement réalisés par Vupen sont mis à la disposition de ses clients gouvernementaux afin de leur permettre de protéger proactivement leurs systèmes et infrastructures contres des attaques sophistiquées et, dans certains cas, protéger leur nation ». Il ajoutait que « Vupen travaille exclusivement avec des pays alliés essentiellement en Europe et en Amérique du Nord » en respectant les embargos décrétés contre certains pays par les institutions internationales. Selon le patron de Vupen cité par ThreatPost, ce type de commerce serait devenu une activité « normale » pratiquée notamment de nombreuses entreprises américaines.
Les éditeurs mettent la main au portefeuille
Chaouki Bekrar dit avoir opté pour cette voie à partir de 2010 face à la réticence des éditeurs à mettre en place des programmes de récompense pour les « chasseurs de bugsbugs » qui passent souvent de longs mois à traquer ces failles. Il ne fut bien évidemment pas le seul, et l'on peut se demander si certaines des plus graves cyberattaques menées ces dernières années n'ont pas eu pour point de départpoint de départ des failles zero day vendues par des hackers peu scrupuleux. Face à cette dérive, les grands noms de l'industrie high-tech ont commencé à mettre en place des programmes de rémunération. Google fut l'un des précurseurs dans ce domaine, suivi plus tard par FacebookFacebook, Yahoo ou encore MicrosoftMicrosoft. Et les sommes promises sont de plus en plus élevées. Ainsi, pour son concours Pwnium 2014, Google a mis un peu plus de 2,7 millions de dollars en jeu pour des exploits zero day ciblant son système d'exploitation Chrome OSChrome OS. George Hotz, alias GeoHot, le jeune hacker qui s'est rendu célèbre en réalisant le premier déverrouillage de l'iPhone (jailbreakjailbreak) et en cassant les protections de la PlayStation 3PlayStation 3 de Sony, a récolté 150.000 dollars pour un exploit mené à partir d'un Chromebook HP 11.
L'argument financier semble fonctionner, et ce n'est sans doute pas un hasard si Vupen s'est distingué cette année. « Plus nous pouvons mettre d'argentargent dans la communauté des "chapeaux blancs" [ou white hats, les hackers ayant une éthique par opposition aux black hats mal intentionnés, NDLRNDLR], mieux ce sera pour nous tous », a déclaré Chris Evans, un ingénieur en sécurité de Google, à l'issue du Pwnium. Cependant, n'y a-t-il pas un risque de surenchère ? Chaouki Bekrar reconnaît qu'il est « plus difficile de casser les navigateurs, surtout sur Windows 8Windows 8.1. L'exploitation est plus difficile et la recherche de failles zero day plus compliquée. » Plus une faille de sécurité sera difficile à trouver, plus sa valeur marchande augmentera... Et les éditeurs concernés risquent de n'avoir d'autre choix que de suivre cette inflation pour ne pas compromettre la sécurité de leurs produits phares. À ce titre, les primes qui seront mises en jeu lors du Pwn2Own 2015 seront très instructives.