Un français trouve la première vulnérabilité zéro day sur Windows 8
La société française Vupen, située à Montpellier, vend une vulnérabilité du nouveau système d'exploitation de Microsoft et dans son navigateur. Valeur ? On ne sait pas encore mais le prix devrait augmenter tant que personne d'autre n'en rend les détails publics.
En vente : « Notre première 0day pour Win8+E10 avec HiASLR/AntiROP/DEP & Prot Mode sandbox bypass (Flash non nécessaire). » Voici un morceau énigmatique d'un message émis sur Twitter par Vupen, une société française qui trouve des vulnérabilités dans les logiciels de Microsoft, Adobe, Appel ou Oracle.
Vupen occupe une zone grise de la recherche en sécurité informatique. La société vend des vulnérabilités à des interlocuteurs dans les gouvernements ou les entreprises mais n'en partage pas les détails avec les vendeurs des logiciels concernés. Vupen se défend en disant que cette information permet aux organisations de se défendre des hackers, et dans certains cas, de passer à l'offensive.
Vupen a trouvé un problème dans Windows 8 et dans son navigateur Internet Explorer 10 qui n'a été ni publiquement communiqué ni réparé. La découverte de Vupen est l'un des premiers problèmes relevé sur Windows 8. Microsoft encourage les chercheurs à participer à son programme Coordinated Vulnerability Disclosure program, qui demande aux gens de lui laisser le temps de résoudre le problème logiciel avant de le rendre public. « Nous avons vu ce tweet, mais les détails ne nous ont pas été communiqués » a déclaré Microsoft.
Le message de Vupen indique que la vulnérabilité permettra de court-circuiter les mécanismes de sécurité de Windows 8, dont « high-entropy Address Space Layout Randomization (ASLR) », « anti-Return Oriented Programming » et « DEP (data execution prevention). » Le message indique aussi que cela ne dépend pas d'un problème avec Flash d'Adobe.
« Si le bug est confirmé, cela pourrait être un oeil au beurre noir pour Microsoft qui verrait sa toute nouvelle plateforme vantée comme la plus sécurisée déjà faillible à peine sortie » estime Andrew Storms, directeur de la sécurité chez nCircle.
La valeur sur le marché d'une telle vulnérabilité pourrait être limitée car Windows 8 est récent, « d'un autre côté, personne n'a indiqué si ce bug ne fonctionne pas aussi sur des versions plus anciennes de Windows ni de Internet Explorer. »
Alors combien vaut cette vulnérabilité ? Difficile à dire. Vupen n'a pas de catalogue de prix. « la valeur va augmenter avec le temps, plus Vupen la conserve secrète, et tant que personne d'autre ne trébuche dessus » conclut Joey Melbourne, consultant et expert en tests de pénétration pour la société de sécurité australienne HackLabs.
