En direct
Best of
Best of du 5 au 11 octobre
En direct
Flash-actu
Articles populaires
Période :
24 heures
7 jours
01.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

02.

Hausse de la taxe foncière : l’étouffement progressif des petits propriétaires

03.

Tout arrive : Trump veut mettre fin à la guerre commerciale avec la Chine et Boris Johnson propose un accord pour le Brexit.

04.

Esther Duflo : petites questions critiques sur un prix nobel très (trop ?) consensuel

05.

Etats-Unis : une famille américaine rentre chez elle et se retrouve nez à nez avec trois ours

06.

L'élu RN Julien Odoul crée la polémique en demandant à une femme d'ôter son voile au Conseil régional de Bourgogne-Franche-Comté

07.

A Londres, des militants du mouvement Extinction Rebellion auraient été payés 450 euros par semaine

01.

Brexit : pas si fou, Boris Johnson supprime la quasi-totalité des droits de douane à l’entrée du Royaume-Uni

02.

Les grandes fortunes mondiales accumulent du cash en prévision d’une récession

03.

La famille d’Ophelie Winter a trouvé un moyen de lui parler, Laura Smet de forcer Laeticia Hallyday à négocier, la fiancée de Cyril Lignac de le voir sans ses enfants (à elle); Triple baptême en Arménie (mais sans Kanye) pour les enfants de Kim Kardashian

04.

Comment Carlos Ghosn a été expulsé de la tête de Renault en quelques heures

05.

Terrorisme et dérives communautaristes : ce « pas de vague » qui anéantit au quotidien les discours de rigueur

06.

A Londres, des militants du mouvement Extinction Rebellion auraient été payés 450 euros par semaine

01.

Ressusciter LR : mission impossible pour Christian Jacob ?

02.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

03.

La timidité dans la lutte concrète contre les dérives communautaristes masque-t-elle une peur du "trop nombreux, trop tard" ?

04.

Question à Christophe Castaner : combien y-a-t-il en France de rabbins, de pasteurs et de curés radicalisés ?

05.

Terrorisme et dérives communautaristes : ce « pas de vague » qui anéantit au quotidien les discours de rigueur

06.

Voici comment Zemmour est devenu l’homme le plus célèbre de France…

ça vient d'être publié
pépite vidéo > Religion
Polémique
Polémique sur le port du voile : doit-on l'interdire en sortie scolaire ?
il y a 12 heures 45 min
pépites > International
Changement de discours
Opération militaire turque en Syrie : la Chine appelle Ankara à mettre un terme à son intervention contre les kurdes syriens
il y a 13 heures 59 min
pépites > Economie
Taxes
Bruno Le Maire se dit favorable à l’instauration d'une taxe européenne sur les carburants des avions et bateaux
il y a 15 heures 7 min
décryptage > Culture
Atlanti-Culture

"Rouge" de John Logan, mise en scène par Jérémie Lippmann : Ceci n’est pas un texte

il y a 16 heures 41 min
décryptage > Culture
Atlanti-Culture

"Le mystère Abd el-Kader" de Thierry Zacone : Un livre savant pour les spécialistes de l’Islam et de la Franc-maçonnerie

il y a 17 heures 3 min
décryptage > Terrorisme
Dysfonctionnement

Attaque à la Préfecture de police : critiquer les dérives de l'islam est une question de responsabilité pour les musulmans de France

il y a 19 heures 50 min
décryptage > Culture
Asia Now

La scène artistique asiatique en plein boom s’expose à Paris

il y a 20 heures 3 min
décryptage > Economie
Étouffement

Hausse de la taxe foncière : l’étouffement progressif des petits propriétaires

il y a 20 heures 15 min
décryptage > Economie
A rebours

Le nombre de catastrophes naturelles meurtrières n’a cessé de diminuer (et leur impact sur l’économie mondiale avec)

il y a 20 heures 58 min
décryptage > Atlantico business
Atlantico-Business

Disney, Apple, Warner et Amazon partent à l’assaut de Netflix

il y a 21 heures 32 min
light > Insolite
Surprise !
Etats-Unis : une famille américaine rentre chez elle et se retrouve nez à nez avec trois ours
il y a 13 heures 21 min
light > Santé
En pleine forme
Le nouveau doyen des Français a 110 ans
il y a 14 heures 39 min
pépites > Europe
At last!
Brexit : Paris dit espérer un accord dès "ce soir"
il y a 15 heures 31 min
décryptage > Culture
Atlanti-Culture

"La clé USB" de Jean-Philippe Toussaint : l’art de rendre romanesque l’univers de l’informatique

il y a 16 heures 55 min
décryptage > Religion
L'art de la punchline

Un 14 octobre en tweets : Jean-Sébastien Ferjou en 280 caractères

il y a 19 heures 28 min
décryptage > Société
Inutile

Scolarité obligatoire à trois ans : une réforme inutile et coûteuse

il y a 19 heures 57 min
décryptage > International
Game over

Kurdes : et comme dans Le Train sifflera trois fois, le shérif fatigué jeta son étoile...

il y a 20 heures 14 min
décryptage > Environnement
Clash

Vers un clash entre mesures environnementales et libertés individuelles

il y a 20 heures 46 min
décryptage > Santé
Remue-ménage constant

Comment le monde est devenu de plus en plus bruyant sans que notre corps ne sache s’y adapter

il y a 21 heures 8 min
décryptage > Religion
Quelques précisions...

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

il y a 21 heures 35 min
© Reuters
© Reuters
Qui l'eût cru ?

Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi

Publié le 25 mars 2016
Après plusieurs semaines, le FBI vient de mettre un terme à la bataille qui l'opposait à Apple, dont il exigeait qu'il l'aide à déverrouiller un iPhone appartenant à un suspect impliqué dans la fusillade de San Bernardino. Un dénouement facilité par la participation de hackers externes à l'agence fédérale.
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Après plusieurs semaines, le FBI vient de mettre un terme à la bataille qui l'opposait à Apple, dont il exigeait qu'il l'aide à déverrouiller un iPhone appartenant à un suspect impliqué dans la fusillade de San Bernardino. Un dénouement facilité par la participation de hackers externes à l'agence fédérale.

Atlantico : Après plusieurs semaines de tensions entre Apple et le FBI, l'agence de renseignement a annoncé il y a quelques jours avoir réussi à débloquer les iPhone des individus suspectés d'avoir participé à la fusillade de San Bernardino. Pourtant, la compagnie avait fait de son système de chiffrement de données un argument phare des dernières versions de ses smartphone. Que paye aujourd'hui la marque à la pomme ?

Fabrice Epelboin : Apple paie une erreur stratégique en matière de sécurité informatique. Ses experts maison font sans doute partie des meilleurs du monde, mais ils sont en nombre limité. Jusqu'ici, Apple faisait face au FBI, et probablement à la NSA, et il semble bien que la sécurité d’Apple soit capable de leur résister, mais dernièrement, un nouvel acteur - pour l’instant anonyme - a trouvé une faille de sécurité sur l’iPhone qui permettrait de le déchiffrer. Il a “proposé son aide” au FBI. En réalité, il a vraisemblablement monnayé ses services.


Il faut aborder la dimension économique du marché des failles de sécurité pour comprendre ce qu’il s’est passé depuis octobre 2015, date à laquelle a commencé le bras de fer entre Apple et le FBI. Il existe, en quelque sorte, trois marchés distincts pour les failles de sécurité : un marché noir, un gris et un blanc.


Le marché noir a lieu typiquement (mais pas que) dans le darknet, et n’est pas particulièrement bien organisé. Il est bien sûr totalement dérégulé, car parfaitement illégal. On y vend des failles de sécurité permettant d’attaquer une multitude de technologies, qu’il s’agisse de systèmes d’exploitations tels que celui de l’iPhone, de logiciels grands publics, tels que Word ou Excel, ou de technologies bien plus spécialisées, comme les infrastructures d’une entreprise ou d’un Etat. Les clients sont aussi bien des organisations criminelles que des agences de renseignement étatiques ou privées.


Le marché gris est plus structuré, mais presque aussi discret. Ce sont des entreprises de sécurité informatique - souvent de très haut niveau - qui découvrent et collectionnent ces failles de sécurité particulièrement critiques, et qui les revendent à des agences de renseignement. Dans ce marché gris, qui est tout de même (un petit peu) régulé, il n’est pas question de vendre à des organisations criminelles.

Le marché blanc, lui, est bien plus structuré et très régulé, voir contraint. C’est ce qu’on appelle le Bug Bounty. On ne peut y vendre une faille de sécurité qu’au propriétaire de la technologie qui la recèle, et à personne d’autre. Sur ce marché, ce sont les entreprises qui fixent le prix des failles de sécurité qu’elles sont les seules à pouvoir acheter. Cela en fait un marché un peu particulier. Les prix sont déterminés par l’apport en sécurisation que leur découverte amène à l’entreprise qui l’achète, et qui va du coup pouvoir corriger la faille et améliorer sa sécurité. Mais ces prix sont poussés à la hausse par les prix pratiqués sur les marchés gris et noir.

Sur les marchés gris et noir, toutes les failles de sécurité ne se valent pas. Une faille vous permettant de pénétrer le système de gestion d’un hôpital ne vaut pas aussi cher que celle qui vous permet de pénétrer un iPhone. Pour vous donner un ordre d’idée, une faille sur l’iPhone peut valoir jusqu'à plusieurs centaines de milliers d’euros, probablement plus d’un million après six mois de bras de fer entre Apple et le FBI, alors qu’une faille vous permettant de pirater un centre hospitalier n’atteindra que quelques dizaines de milliers d’euros tout au plus.


Presque tous les géants des technologies utilisent ce marché blanc du Bug Bounty pour affaiblir le marché noir, afin de s’en prémunir, en mettant à prix les failles de sécurité présentes dans leurs technologies. Google, Yahoo, Microsoft, IBM, mais également des entreprises comme United Airlines ou Telsa mettent ainsi leurs failles de sécurité à prix en organisant des Bug Bounties… Mais Apple, lui, n’a pas de Bug Bounty.


Si vous êtes un hacker et que vous découvrez une faille critique sur le ChromeBook de Google, vous pouvez la leur vendre cent mille dollars, mais si vous trouvez le même genre de faille chez Apple, il n’y a que sur le marché gris - si vous voulez rester dans le légal - ou sur le marché noir - si vous êtes un “blackhat” - où vous pouvez monétiser votre découverte.


C’est là l’erreur stratégique d’Apple. En négligeant d’affaiblir le marché noir des failles de sécurité, et en ne mettant pas en place son propre programme de Bug Bounty, Apple a tourné le dos à la “multitude” des hackers, et à laissé le champ libre au FBI. 

De son côté, le FBI peut-il compter sur des hackers ou des experts en sécurité informatiques externes pour le soutenir ?

 

Le FBI, comme la plupart de ses homologues de par le monde, a accès et utilise le marché gris, et très probablement le marché noir des failles de sécurité informatique. Il a ainsi recours à une main d’œuvre gigantesque, faite d’une multitude de talents aussi divers qu’hétéroclites, issus de cultures et de formations très variées. Des esprits très doués, pour qui trouver une faille de sécurité - chez Apple ou ailleurs - est un challenge intellectuel irrésistible.

On peut avoir accès à cette main d’œuvre, qui dans le cas de l’iPhone s’avère plus efficace que le FBI et la NSA, à travers le marché noir, gris ou blanc des failles de sécurité. Le FBI peut intervenir sur le marché gris et noir, mais pas sur le marché blanc, celui du Bug Bounty, où seul Apple peut acheter une faille de sécurité sur une technologie Apple. Mais comme Apple n’a pas créé de marché blanc pour ses failles de sécurité en organisant un Bug Bounty, il n’a offert aucune alternative à celui qui met à jour une faille dans ses technologies pour vendre sa découverte.

On peut facilement imaginer que le prix d’une faille de sécurité sur les systèmes Apple - qui étaient déjà très élevés - n’a fait qu’augmenter durant les six mois qu’ont duré le bras de fer qui a opposé Apple et le FBI. A un moment, la mise a prix a suffit a motiver et mobiliser suffisamment de talents pour que le marché fasse son effet. Une faille de sécurité a été trouvée et le FBI, directement ou indirectement, l’a très probablement acheté.

Si Apple, ne serait-ce que pour damer le pion à Google dont les primes de Bug Bounty sont énormes, avait mis à prix ses failles pour quelques millions de dollars - une paille pour l’entreprise la plus riche du monde - on n’en serait pas là.

Plus globalement, qu'est-ce que cette confrontation peut nous révéler sur l'évolution de la cybersécurité ? Et quelles en sont les conséquences pour les consommateurs ?

Pour le consommateur, il va avant tout lui falloir apprendre le B.A.BA de la sécurité informatique, et il faudrait mettre en place une initiative nationale à ce sujet, et vulgariser le sujet. France Télévision a récemment produit un programme, “On n'est plus des pigeons !” https://www.youtube.com/watch?v=-9XeRhnj3bk qui a abordé le spam de façon très pédagogique, à destination du grand public. Il faudrait multiplier ce type de programme et éduquer la population de la même façon à propos du phising, des virus, des firewalls ou bien encore de chiffrement.

Pour les entreprises, l’approche de la cybersécurité va évoluer de façon significative dans les années qui viennent. D'un point de vue législatif, la directive cybersécurité européenne va imposer d’ici deux ans une forme de responsabilité aux entreprises du continent. Elle les forcera à se sécuriser et à assumer publiquement, sous peine de lourdes amendes, les fuites d’information dont elles sont sans cesse victimes, et qu’elles passent sous silence la plupart du temps.

Le monde de l’assurance va jouer à l’avenir un rôle très significatif : la cyberassurance est un marché énorme qui n’en est qu’a ses balbutiements. La directive cybersécurité va mettre fin à une longue tradition d'obfuscation qui dominait jusqu'ici. Les assureurs vont pouvoir y voir plus clair, et distinguer ceux qui prennent leur cyber sécurité au sérieux des autres. Ils vont pouvoir évaluer un risque avec des indicateurs concrets, et y voir plus clair.

Les responsables cyber sécurité des entreprises vont devoir de leur coté aborder les failles de sécurité qui les rendent vulnérables comme un produit sur un marché, sur lequel ils peuvent avoir un effet significatif. Le marché noir des failles de sécurité existe depuis longtemps, tout comme le gris, et ils ne leur sont pas d’une grande aide, loin de là, contrairement au marché blanc - celui des Bug Bounties, qui leur permet de reprendre les choses en main.

S’il est pratiqué par des pionniers depuis plus de vingt ans, le marché blanc des Bug Bounties ne s’est démocratisé que récemment, avec l’arrivée des plateformes de Bug Bounty. Aujourd'hui, ce marché offre la possibilité aux entreprises non seulement de repérer les failles qui les rendent vulnérables à bon prix, mais également d’impacter sur les marchés gris et noir sur lesquels leurs failles peuvent avoir de la valeur. C’est une nouvelle approche de la sécurité informatique, complémentaire à ce qui existe aujourd'hui. C’est une façon d’aborder la sécurité informatique non pas dans sa dimension technique et défensive, mais avec une approche économique et sociale.

La sécurité, tout comme l’insécurité informatique, est dans les mains des hackers - qu’on peut appeler “expert en sécurité”, tout comme on peut appeler “technicien de surface” une femme de ménage. Ces derniers peuvent être motivés, comme tout le monde, avec de l’argent. Avec un peu d’argent, les hackers “whitehat” se feront un plaisir de vous vendre les failles de sécurité présentes sur vos technologies. Avec beaucoup d’argent, d’autres, les “blackhats”, vendront ces mêmes failles à vos concurrents, une agence de renseignement étatique ou privée, ou une organisation mafieuse. C’est une réalité qu’il faut adresser, les Bug Bounties permettent de le faire de façon efficace.

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

02.

Hausse de la taxe foncière : l’étouffement progressif des petits propriétaires

03.

Tout arrive : Trump veut mettre fin à la guerre commerciale avec la Chine et Boris Johnson propose un accord pour le Brexit.

04.

Esther Duflo : petites questions critiques sur un prix nobel très (trop ?) consensuel

05.

Etats-Unis : une famille américaine rentre chez elle et se retrouve nez à nez avec trois ours

06.

L'élu RN Julien Odoul crée la polémique en demandant à une femme d'ôter son voile au Conseil régional de Bourgogne-Franche-Comté

07.

A Londres, des militants du mouvement Extinction Rebellion auraient été payés 450 euros par semaine

01.

Brexit : pas si fou, Boris Johnson supprime la quasi-totalité des droits de douane à l’entrée du Royaume-Uni

02.

Les grandes fortunes mondiales accumulent du cash en prévision d’une récession

03.

La famille d’Ophelie Winter a trouvé un moyen de lui parler, Laura Smet de forcer Laeticia Hallyday à négocier, la fiancée de Cyril Lignac de le voir sans ses enfants (à elle); Triple baptême en Arménie (mais sans Kanye) pour les enfants de Kim Kardashian

04.

Comment Carlos Ghosn a été expulsé de la tête de Renault en quelques heures

05.

Terrorisme et dérives communautaristes : ce « pas de vague » qui anéantit au quotidien les discours de rigueur

06.

A Londres, des militants du mouvement Extinction Rebellion auraient été payés 450 euros par semaine

01.

Ressusciter LR : mission impossible pour Christian Jacob ?

02.

Voile : toutes celles qui le portent ne sont pas islamistes, mais aucune ne peut décider seule de sa signification

03.

La timidité dans la lutte concrète contre les dérives communautaristes masque-t-elle une peur du "trop nombreux, trop tard" ?

04.

Question à Christophe Castaner : combien y-a-t-il en France de rabbins, de pasteurs et de curés radicalisés ?

05.

Terrorisme et dérives communautaristes : ce « pas de vague » qui anéantit au quotidien les discours de rigueur

06.

Voici comment Zemmour est devenu l’homme le plus célèbre de France…

Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
*Toute validation est définitive, vous ne pourrez pas rééditer votre commentaire.
Pas d'autres commentaires