Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi
©Reuters

Qui l'eût cru ?

Surprise dans le duel Apple-FBI : les pirates prennent parti pour les services de renseignement et voici pourquoi

Après plusieurs semaines, le FBI vient de mettre un terme à la bataille qui l'opposait à Apple, dont il exigeait qu'il l'aide à déverrouiller un iPhone appartenant à un suspect impliqué dans la fusillade de San Bernardino. Un dénouement facilité par la participation de hackers externes à l'agence fédérale.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

Atlantico : Après plusieurs semaines de tensions entre Apple et le FBI, l'agence de renseignement a annoncé il y a quelques jours avoir réussi à débloquer les iPhone des individus suspectés d'avoir participé à la fusillade de San Bernardino. Pourtant, la compagnie avait fait de son système de chiffrement de données un argument phare des dernières versions de ses smartphone. Que paye aujourd'hui la marque à la pomme ?

Fabrice Epelboin : Apple paie une erreur stratégique en matière de sécurité informatique. Ses experts maison font sans doute partie des meilleurs du monde, mais ils sont en nombre limité. Jusqu'ici, Apple faisait face au FBI, et probablement à la NSA, et il semble bien que la sécurité d’Apple soit capable de leur résister, mais dernièrement, un nouvel acteur - pour l’instant anonyme - a trouvé une faille de sécurité sur l’iPhone qui permettrait de le déchiffrer. Il a “proposé son aide” au FBI. En réalité, il a vraisemblablement monnayé ses services.


Il faut aborder la dimension économique du marché des failles de sécurité pour comprendre ce qu’il s’est passé depuis octobre 2015, date à laquelle a commencé le bras de fer entre Apple et le FBI. Il existe, en quelque sorte, trois marchés distincts pour les failles de sécurité : un marché noir, un gris et un blanc.


Le marché noir a lieu typiquement (mais pas que) dans le darknet, et n’est pas particulièrement bien organisé. Il est bien sûr totalement dérégulé, car parfaitement illégal. On y vend des failles de sécurité permettant d’attaquer une multitude de technologies, qu’il s’agisse de systèmes d’exploitations tels que celui de l’iPhone, de logiciels grands publics, tels que Word ou Excel, ou de technologies bien plus spécialisées, comme les infrastructures d’une entreprise ou d’un Etat. Les clients sont aussi bien des organisations criminelles que des agences de renseignement étatiques ou privées.


Le marché gris est plus structuré, mais presque aussi discret. Ce sont des entreprises de sécurité informatique - souvent de très haut niveau - qui découvrent et collectionnent ces failles de sécurité particulièrement critiques, et qui les revendent à des agences de renseignement. Dans ce marché gris, qui est tout de même (un petit peu) régulé, il n’est pas question de vendre à des organisations criminelles.

Le marché blanc, lui, est bien plus structuré et très régulé, voir contraint. C’est ce qu’on appelle leBug Bounty. On ne peut y vendre une faille de sécurité qu’au propriétaire de la technologie qui la recèle, et à personne d’autre. Sur ce marché, ce sont les entreprises qui fixent le prix des failles de sécurité qu’elles sont les seules à pouvoir acheter. Cela en fait un marché un peu particulier. Les prix sont déterminés par l’apport en sécurisation que leur découverte amène à l’entreprise qui l’achète, et qui va du coup pouvoir corriger la faille et améliorer sa sécurité. Mais ces prix sont poussés à la hausse par les prix pratiqués sur les marchés gris et noir.

Sur les marchés gris et noir, toutes les failles de sécurité ne se valent pas. Une faille vous permettant de pénétrer le système de gestion d’un hôpital ne vaut pas aussi cher que celle qui vous permet de pénétrer un iPhone. Pour vous donner un ordre d’idée, une faille sur l’iPhone peut valoir jusqu'à plusieurs centaines de milliers d’euros, probablement plus d’un million après six mois de bras de fer entre Apple et le FBI, alors qu’une faille vous permettant de pirater un centre hospitalier n’atteindra que quelques dizaines de milliers d’euros tout au plus.


Presque tous les géants des technologies utilisent ce marché blanc du Bug Bounty pour affaiblir le marché noir, afin de s’en prémunir, en mettant à prix les failles de sécurité présentes dans leurs technologies. Google, Yahoo, Microsoft, IBM, mais également des entreprises comme United Airlines ou Telsa mettent ainsi leurs failles de sécurité à prix en organisant des Bug Bounties… Mais Apple, lui, n’a pas de Bug Bounty.


Si vous êtes un hacker et que vous découvrez une faille critique sur le ChromeBook de Google, vous pouvez la leur vendre cent mille dollars, mais si vous trouvez le même genre de faille chez Apple, il n’y a que sur le marché gris - si vous voulez rester dans le légal - ou sur le marché noir - si vous êtes un “blackhat” - où vous pouvez monétiser votre découverte.


C’est là l’erreur stratégique d’Apple. En négligeant d’affaiblir le marché noir des failles de sécurité, et en ne mettant pas en place son propre programme de Bug Bounty, Apple a tourné le dos à la “multitude” des hackers, et à laissé le champ libre au FBI. 

De son côté, le FBI peut-il compter sur des hackers ou des experts en sécurité informatiques externes pour le soutenir ?

Le FBI, comme la plupart de ses homologues de par le monde, a accès et utilise le marché gris, et très probablement le marché noir des failles de sécurité informatique. Il a ainsi recours à une main d’œuvre gigantesque, faite d’une multitude de talents aussi divers qu’hétéroclites, issus de cultures et de formations très variées. Des esprits très doués, pour qui trouver une faille de sécurité - chez Apple ou ailleurs - est un challenge intellectuel irrésistible.

On peut avoir accès à cette main d’œuvre, qui dans le cas de l’iPhone s’avère plus efficace que le FBI et la NSA, à travers le marché noir, gris ou blanc des failles de sécurité. Le FBI peut intervenir sur le marché gris et noir, mais pas sur le marché blanc, celui du Bug Bounty, où seul Apple peut acheter une faille de sécurité sur une technologie Apple. Mais comme Apple n’a pas créé de marché blanc pour ses failles de sécurité en organisant un Bug Bounty, il n’a offert aucune alternative à celui qui met à jour une faille dans ses technologies pour vendre sa découverte.

On peut facilement imaginer que le prix d’une faille de sécurité sur les systèmes Apple - qui étaient déjà très élevés - n’a fait qu’augmenter durant les six mois qu’ont duré le bras de fer qui a opposé Apple et le FBI. A un moment, la mise a prix a suffit a motiver et mobiliser suffisamment de talents pour que le marché fasse son effet. Une faille de sécurité a été trouvée et le FBI, directement ou indirectement, l’a très probablement acheté.

Si Apple, ne serait-ce que pour damer le pion à Google dont les primes de Bug Bounty sont énormes, avait mis à prix ses failles pour quelques millions de dollars - une paille pour l’entreprise la plus riche du monde - on n’en serait pas là.

Plus globalement, qu'est-ce que cette confrontation peut nous révéler sur l'évolution de la cybersécurité ? Et quelles en sont les conséquences pour les consommateurs ?

Pour le consommateur, il va avant tout lui falloir apprendre le B.A.BA de la sécurité informatique, et il faudrait mettre en place une initiative nationale à ce sujet, et vulgariser le sujet. France Télévision a récemment produit un programme, “On n'est plus des pigeons !” https://www.youtube.com/watch?v=-9XeRhnj3bk qui a abordé le spam de façon très pédagogique, à destination du grand public. Il faudrait multiplier ce type de programme et éduquer la population de la même façon à propos du phising, des virus, des firewalls ou bien encore de chiffrement.

Pour les entreprises, l’approche de la cybersécurité va évoluer de façon significative dans les années qui viennent. D'un point de vue législatif, la directive cybersécurité européenne va imposer d’ici deux ans une forme de responsabilité aux entreprises du continent. Elle les forcera à se sécuriser et à assumer publiquement, sous peine de lourdes amendes, les fuites d’information dont elles sont sans cesse victimes, et qu’elles passent sous silence la plupart du temps.

Le monde de l’assurance va jouer à l’avenir un rôle très significatif : la cyberassurance est un marché énorme qui n’en est qu’a ses balbutiements. La directive cybersécurité va mettre fin à une longue tradition d'obfuscation qui dominait jusqu'ici. Les assureurs vont pouvoir y voir plus clair, et distinguer ceux qui prennent leur cyber sécurité au sérieux des autres. Ils vont pouvoir évaluer un risque avec des indicateurs concrets, et y voir plus clair.

Les responsables cyber sécurité des entreprises vont devoir de leur coté aborder les failles de sécurité qui les rendent vulnérables comme un produit sur un marché, sur lequel ils peuvent avoir un effet significatif. Le marché noir des failles de sécurité existe depuis longtemps, tout comme le gris, et ils ne leur sont pas d’une grande aide, loin de là, contrairement au marché blanc - celui des Bug Bounties, qui leur permet de reprendre les choses en main.

S’il est pratiqué par des pionniers depuis plus de vingt ans, le marché blanc des Bug Bounties ne s’est démocratisé que récemment, avec l’arrivée des plateformes de Bug Bounty. Aujourd'hui, ce marché offre la possibilité aux entreprises non seulement de repérer les failles qui les rendent vulnérables à bon prix, mais également d’impacter sur les marchés gris et noir sur lesquels leurs failles peuvent avoir de la valeur. C’est une nouvelle approche de la sécurité informatique, complémentaire à ce qui existe aujourd'hui. C’est une façon d’aborder la sécurité informatique non pas dans sa dimension technique et défensive, mais avec une approche économique et sociale.

La sécurité, tout comme l’insécurité informatique, est dans les mains des hackers - qu’on peut appeler “expert en sécurité”, tout comme on peut appeler “technicien de surface” une femme de ménage. Ces derniers peuvent être motivés, comme tout le monde, avec de l’argent. Avec un peu d’argent, les hackers “whitehat” se feront un plaisir de vous vendre les failles de sécurité présentes sur vos technologies. Avec beaucoup d’argent, d’autres, les “blackhats”, vendront ces mêmes failles à vos concurrents, une agence de renseignement étatique ou privée, ou une organisation mafieuse. C’est une réalité qu’il faut adresser, les Bug Bounties permettent de le faire de façon efficace.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !