Atlantico, c'est qui? c'est quoi ?
Dimanche 25 Septembre 2016 | Créer un compte | Connexion
Extra

Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi

Après plusieurs semaines, le FBI vient de mettre un terme à la bataille qui l'opposait à Apple, dont il exigeait qu'il l'aide à déverrouiller un iPhone appartenant à un suspect impliqué dans la fusillade de San Bernardino. Un dénouement facilité par la participation de hackers externes à l'agence fédérale.

Qui l'eût cru ?

Publié le
Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi

Atlantico : Après plusieurs semaines de tensions entre Apple et le FBI, l'agence de renseignement a annoncé il y a quelques jours avoir réussi à débloquer les iPhone des individus suspectés d'avoir participé à la fusillade de San Bernardino. Pourtant, la compagnie avait fait de son système de chiffrement de données un argument phare des dernières versions de ses smartphone. Que paye aujourd'hui la marque à la pomme ?

Fabrice Epelboin : Apple paie une erreur stratégique en matière de sécurité informatique. Ses experts maison font sans doute partie des meilleurs du monde, mais ils sont en nombre limité. Jusqu'ici, Apple faisait face au FBI, et probablement à la NSA, et il semble bien que la sécurité d’Apple soit capable de leur résister, mais dernièrement, un nouvel acteur - pour l’instant anonyme - a trouvé une faille de sécurité sur l’iPhone qui permettrait de le déchiffrer. Il a “proposé son aide” au FBI. En réalité, il a vraisemblablement monnayé ses services.

Il faut aborder la dimension économique du marché des failles de sécurité pour comprendre ce qu’il s’est passé depuis octobre 2015, date à laquelle a commencé le bras de fer entre Apple et le FBI. Il existe, en quelque sorte, trois marchés distincts pour les failles de sécurité : un marché noir, un gris et un blanc.

Le marché noir a lieu typiquement (mais pas que) dans le darknet, et n’est pas particulièrement bien organisé. Il est bien sûr totalement dérégulé, car parfaitement illégal. On y vend des failles de sécurité permettant d’attaquer une multitude de technologies, qu’il s’agisse de systèmes d’exploitations tels que celui de l’iPhone, de logiciels grands publics, tels que Word ou Excel, ou de technologies bien plus spécialisées, comme les infrastructures d’une entreprise ou d’un Etat. Les clients sont aussi bien des organisations criminelles que des agences de renseignement étatiques ou privées.

Le marché gris est plus structuré, mais presque aussi discret. Ce sont des entreprises de sécurité informatique - souvent de très haut niveau - qui découvrent et collectionnent ces failles de sécurité particulièrement critiques, et qui les revendent à des agences de renseignement. Dans ce marché gris, qui est tout de même (un petit peu) régulé, il n’est pas question de vendre à des organisations criminelles.

Le marché blanc, lui, est bien plus structuré et très régulé, voir contraint. C’est ce qu’on appelle le Bug Bounty. On ne peut y vendre une faille de sécurité qu’au propriétaire de la technologie qui la recèle, et à personne d’autre. Sur ce marché, ce sont les entreprises qui fixent le prix des failles de sécurité qu’elles sont les seules à pouvoir acheter. Cela en fait un marché un peu particulier. Les prix sont déterminés par l’apport en sécurisation que leur découverte amène à l’entreprise qui l’achète, et qui va du coup pouvoir corriger la faille et améliorer sa sécurité. Mais ces prix sont poussés à la hausse par les prix pratiqués sur les marchés gris et noir.

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio en entier

Je m'abonne
à partir de 4,90€