Bulle spéculative sur les exploits
Business is business également du côté des chasseurs de failles. Le coup de tonnerre de la « prime à la faille Vista » promise par iDefense a provoqué un bouillonnement de commentaires sur les principales Mailing List traitant de sécurité. Le Security Focus fait le point et relève les propos d'Adriel Desautels de SnoSoft, qui prétend que les 8000 dollars d'iDefense ne sont rien ... en fait, tout le monde cherche à acheter de la faille vierge et inexploitée. Officines de sécurité, bien entendu, bandes mafieuses, mais également agences de renseignements privées, barbouzes gouvernementales... peu à peu, le prix du bug dépasse les 120 000 dollars. Cette hypothèse avait déjà été avancée par Davide Del Vecchio, dans une interview accordée à l'équipe de CSO France (édition papier) il y a plus d'un an, Lequel Del Vecchio prédisait l'arrivée rapide d'un véritable « marché noir » de la faille « utile ». Reste que 120 000 dollars la faille capable d'injecter un « adware » générateur de popups à viagra ou détourneur de pages web « casinos et demoiselles esseulées », c'est relativement cher payé. Surtout pour un point d'entrée que l'on saura comblé dans les 15 jours qui suivent sa première apparition publique. A ce rythme, le prix de la macro Excel va dépasser celui du steack dans le filet, et les pratiquants du fuzzing automatique intégral ne se déplaceront plus qu'en Bentley ou en Lamborghini. Ce qui est moins amusant, en revanche, c'est que le « marché », puisqu'il faut parler de marché, risque de se déliter, de s'affranchir de tout contrôle, ou pire, d'être accaparé par des personnes ayant tout intérêt à conserver par devers eux cette connaissance chèrement acquise. Et l'on commencera à parler des « bugs officiels », des « vices de forme officieux », des « défauts référencés et non publiés », des « chausse-trappes thésaurisés », des « failles supputées », des « pièges occultes »... et des « bugs authentiques, connus et rustinés ». Il restera à déterminer, pour chaque logiciel commercialisé, la proportion des instabilités corrigées, de cells qu'il reste à découvrir et des autres « gardées sous le coude ». En monétisant le défaut, les iDefense, ZDI et confrères ont sérieusement entamé la confiance des usagers envers les programmes en général. La seule parade probable consiste à battre de vitesse les accapareurs de failles, en rendant publique le plus vite possible non pas les menus détails de l'exploit, mais au moins la nature même du danger, avec assez de précision pour que chacun puisse prendre les mesures nécessaires. Paradoxalement, les principaux éditeurs seraient alors contraints de militer en faveur d'une « divulgation immédiate », de peur de voir leurs propres productions servir de vecteur d'infection ou d'espionnage.
