Le marché naissant des vulnérabilités et la monétisation des failles est le sujet que nous avions choisi d’aborder lors d’une conférence qui s’est tenue pendant le salon de la sécurité informatique à Paris en 2006. Il semblerait que les protagonistes de ce nouveau business soient en avance sur nos visions dans ce domaine... En effet, la société Suisse – WabiSabiLabi Ltd – vient de lancer un site d’enchères dédié aux vulnérabilités 0days.
Il va falloir attendre que le « buzz » fasse son effet autour de ce nouveau service avant de voir apparaître des enchères sérieuses. Pour l’heure, aucun individu ne s’est risqué à enchérir les quelques vulnérabilités 0days à vendre. Il est vrai que les tarifs sont relativement élevés. Le premier prix est de 500 dollars pour une faille affectant le script « MKPortal » ou l’extension GPG du webmail open source « Squirrelmail ». Si votre pécule vous le permet, vous pourrez toujours débourser les 2.000 dollars demandés pour obtenir des informations sur une faille critique affectant Yahoo ! Messenger 8.1. A noter que pour ce prix vous disposerez également du P.o.C (Proof of concept), un programme ‘exploit’ permettant de démontrer l’existence de la faille.
La monétisation des failles n’est pas un phénomène récent, plusieurs éditeurs dont 3Com et iDefense proposent déjà des rémunérations en échange d’informations relatives à de nouvelles failles découvertes. Cependant, c’est la première fois qu’un système d’enchères dédié est mis en place et qu’une entreprise repose son activité sur ce business.
Dérive ou réel business modèle ? Il est encore trop tôt pour répondre à cette question. Il est vrai que si des informations affectant une faille critique tombaient entre de mauvaises mains, le résultat pourrait se révéler catastrophique. Cependant, la société WabiSabiLabi semble accorder un soin tout particulier à l’acceptation des candidatures sur ce site d’enchère. En effet, chaque nouveau vendeur ou acheteur doit fournir à l’entreprise une copie de sa carte d’identité ainsi qu’un numéro de téléphone.
Une nouvelle fois c’est le full-disclosure et son éthique relative qui est remis en question. Ce débat, vieux comme le monde de la sécurité informatique, n’est pas prêt d’être résolu…
Flux Rss
Version PDF
Commenter (2)
Une entreprise Suisse spécialisée dans la sécurité informatique met en ligne un site d'enchères uniquement dédié aux vulnérabilités de type 0day. Dérive ou business modèle ? 
