Des truands, des failles, du business...

• Imprimer

Dancho Danchev publie sur son blog un article fort long traitant du business des vulnérabilités, tant dans le monde « normal » que sous les sombres hospices des mafias russes, chinoises -ou peut-être coréennes- et brésiliennes. Un bon trou peut se vendre une fortune... à tel point que les « gentils » acheteurs de failles, dans la mouvance des « Zero Day Initiative » et consorts, augmentent le montant de leurs primes, conscients du fait que, du coté obscur de la force, le cours du bug grimpe aussi rapidement que celui du baril de brut. Mais attention, précise Dancho Danchev, il ne faut pas confondre prix de la matière première, la faille, et prix à la revente au détail. L'exploit conditionné, puisqu'il peut être diffusé à plus grande échelle, va probablement voir ses prix s'effondrer. Le rootkit en kit façon Ikea, le hack en pack comme la kronenbourg, le ver sans consigne avec « en prime, un sms flooder aux 10 premiers acheteurs », c'est pour demain matin, et ca ne coute pas plus de 100 à 300 euros pièce, même si l'exploit vendu n'est plus de toute première fraîcheur. Une fois de plus, les écrits de Danchev sont... foisonnants. On passe d'une idée à l'autre, d'une information à une supposition, d'une supposition à une hypothèse très probable... oui, indiscutablement oui, les indicateurs prouvant une exploitation commerciale des malwares criminels sont tous au vert... au rouge sang devrait-on dire. Les délires paranos d'il y a 5 ans sont hélas totalement concrets et vérifiables en 2006. Et ce n'est pas Danchev qui le prouve, ce sont les activités même des sites de ventes de « Troyens en do it yourself » et de mise à prix d'exploits aux enchères, en cyrillique dans le texte. En toile de fond, on y voit la petite truanderie recourir aux vieilles méthodes : passage à tabac de hackers récalcitrant, rackets des codeurs qui hésiteraient à se compromettre, guerre entre gardiens de troupeaux de Botnets, acceptation indulgente et soutient actif de la part de clients peu scrupuleux et pensant que « tant que c'est informatique, c'est pas trop méchant »... tout çà devient nauséabond. Sérieusement nauséabond. Las, la gente politique européenne s'obnubile et se polarise sur de grandes interrogations sociétales : comment chasser l'islamiste de nos campagnes, comment mettre en fiche tous ces citoyens qui sont, sans exception, des criminels qui s'ignorent et des fraudeurs en perpétuelle cogitation... en voilà, des questions fondamentales, génératrices de marchés juteux dans le domaine du RFID, de la caméra de surveillance, de l'officine de police privée, de l'édition de logiciels de protections de Compact Disc audio ou de DVD cinématographiques... On n'a jamais que l'insécurité que l'on peu se payer. Celle de Danchev est encore trop coûteuse.