Ce qu’on ne peut pas s’acheter avec 45 000 $

Zerodium, spécialisé dans l’achat / revente de vulnérabilité 0day a fait hier, une annonce sur son compte Twitter.

Si pour vous tout ceci n’est qu’un amas de gros mots techniques, je vous explique. En gros, Zerodium propose 45 000 $ en échange d’un 0day (une vulnérabilité non patchée et non connue) fonctionnant avec les distribs Linux les plus connues (Fedora, Ubuntu, Debian, CentOs et Red Hat Entreprise).

À titre de comparaison, ils avaient, il y a quelques années, proposé 1,5 million de $ pour un 0day touchant iOS 10.

Heureux moments en famille — Big bounties, small penis

45 000$ c’est une belle somme et ça pourrait tenter pas mal de monde. Mais ce business reste un business de merde, et je vais vous expliquer pourquoi.

Premièrement, s’ils lancent cet appel, c’est qu’ils ont des clients. Probablement des gouvernements ou des boites privées puissantes. L’objectif de ces clients, c’est de pouvoir s’introduire sur des machines Linux pour les véroler ou en sortir des informations. Y’a pas vraiment de mystère.

Le premier problème, c’est que par définition, celui qui vendra son 0day à Zerodium se fera arnaquer. 45 000$ un 0day qui sera surement revendu avec une doc d’utilisation, le double de son prix (voire plus) à 2, 3, 4…10 ou 100 clients, j’appelle ça se faire arnaquer 🙂

Bon, ça c’était pour la blague.

Maintenant ce qui est grave c’est-ce que ce 0day va permettre.

Repensez aux révélations Snowden, repensez à votre vie privée et à votre vie tout court. Un 0day Linux qui grosso modo peut ouvrir une porte sur un grand nombre de serveurs est un sacré problème, y compris si vous n’avez pas de machine Linux sous la main. Car vous ne le savez peut-être pas, mais toutes vos données et votre activité en ligne circulent ou se retrouve stockées sur des machines Linux. Donc même si vous êtes un utilisateur lambda, cela vous concerne totalement.

Pensez ensuite aux gens qui pourraient souffrir directement d’une telle arme. Les activistes, les opposants politiques, les gens qui travaillent dans les entreprises et qui ont des secrets industriels à défendre, les gouvernements au travers de ses soldats ou de ses agents sur le terrain, sans parler de ceux qui se retrouveraient en position de subir un chantage ou une humiliation à cause de données dérobées via de tels moyens.

Le champ des possibilités est vaste et même si on est totalement dans les hypothèses, celles-ci sont parfaitement plausibles, car déjà vues.

Et je ne vous parle pas, le jour où le 0day est enfin découvert et annoncé publiquement, du bad buzz que cela peut ensuite avoir sur Linux, sur les sociétés touchées, sur les serveurs non patchés subissant les ravages des scripts kiddies et bien sûr de la surcharge de boulot non prévue pour les admin sys et la communauté Open Source.

J’ai beau retourner le problème dans tous les sens, vendre une telle vulnérabilité à un tiers qui est tout sauf de confiance, c’est un peu comme vendre une kalachnikov à un intermédiaire, sans savoir qui va l’utiliser, ni quand et contre qui, tout en espérant qu’on ne sera pas l’une des victimes.

Maintenant c’est sûr, 45 000$ c’est une belle somme. On peut s’en payer des jolies choses avec 45 000$… Une belle voiture, des travaux pour la maison, faire la fête pendant 1 an, ou arrêter de bosser quelques temps.

Mais s’il y a un truc que vous ne pourrez pas vous payer avec ces 45 000$, ce sera une éthique. Car oui, quoi qu’en disent les pubs à la TV et quoi qu’en disent les médias qui s’esclaffent sur la proposition de Zerodium, la notion d’éthique reste à mon sens primordiale.

Car toute l’année, que ce soit mes copains de YesWeHack, ou d’autres hackers de par le monde, on se casse le cul à sécuriser la planète, à remonter le niveau de compétence des gens et des boites dans un seul but : Que chacun puisse évoluer dans le cyberespace avec une relative tranquillité d’esprit.

Tout n’est pas parfait, c’est sûr, mais ça va dans le bon sens pour servir l’intérêt général, grâce aux efforts de chacun. Malheureusement, l’initiative de Zerodium est à l’opposé de ces efforts.

Seulement, pour contrer de telles pratiques qui n’ont comme but que de faire du pognon au détriment de l’intérêt général, il n’y a malheureusement que 3 possibilités.

– Soit les Américains décident que Zerodium va dans le sens contraire de leurs intérêts, et décident d’interdire de telles pratiques. Mais j’imagine que cela n’arrivera jamais, car ils sont surement leurs premiers clients et ont probablement négocié quelques exclusivités mondiales avec eux.

– Soit je trouve une planche à billets magique, et je propose x3 en pognon pour racheter les 0day avant qu’ils ne tombent entre de mauvaises mains pour ensuite les offrir à la communauté open source dans un cadre de divulgation coordonnée de vulnérabilités.

– Soit, j’en appelle au bon sens, en ayant conscience du côté bisounours de la chose, en expliquant aux gens que tout ceci est éthiquement malsain et que la seule option quand on découvre une vulnérabilité sur un site, un soft, un service (peu importe), c’est de la remonter à celui qui est impacté par ce problème pour qu’il puisse patcher au plus vite.

Pour le moment, à moins que vous ne soyez tous Milliardaires, c’est cette dernière possibilité qui est à notre portée à tous. Et cela peut se faire de 2 façons :

– Via un principe de CVD (Divulgation Coordonnée de Vuln) en passant par une plateforme non-profit comme Zerodisclo.com

– En passant par le Security.txt ou le programme de Bug Bounty de l’organisation / site / projet impacté pour remonter au plus vite la vuln.

Vous voilà informé. N’oubliez pas que la vraie richesse débute quand vous amassez toutes ces petites choses qui ne peuvent pas s’acheter.

À vous de voir maintenant ce que vous préférez.