Kevin Mitnick, le nouveau seigneur de la cyberguerre?

lordofwar
Facebook
Twitter
LinkedIn
Reddit
WhatsApp
Email

Alors que les spécialistes en sécurité en ont plein les bras avec la faille Shellshock, une nouvelle est demeurée relativement sous le radar : Kevin Mitnick, le très connu consultant en sécurité informatique et ancien pirate informatique, se lancera dans la vente de failles informatiques de type «jour zéro».

Évidemment, le fait qu’une vulnérabilité soit classée «jour zéro» n’a rien à voir avec son impact, mais plutôt avec sa nouveauté.

Rappelons que les failles de sécurité de type «jour zéro» consistent en des vulnérabilités informatiques qui ne sont pas encore connues publiquement. Cela signifie donc qu’il n’y a aucune protection disponible, et que des parades de sécurité restent à développer.

Évidemment, la gravité de ce genre de faille peut être très variable : le fait qu’une vulnérabilité soit classée «jour zéro» n’a rien à voir avec son impact, mais plutôt avec sa nouveauté.

Si cette nouvelle peut paraître anodine pour la personne plus ou moins à l’affût en matière de sécurité informatique, l’acteur intéressé, lui, en arrivera rapidement à des conclusions beaucoup plus préoccupantes. En fait, ce genre de services accélèrent l’ouverture d’une boite de Pandore contenant un côté sombre des technologies de l’information : celui de la vente «d’armes informatiques».

Qui est Kevin Mitnick?

Pour ceux qui ne connaissent pas Kevin Mitnick, il s’agit de l’un des plus réputés pirates informatiques. Il a mené la vie dure aux forces de l’ordre américaines, principalement dans les années 80 et 90, avant de se retrouver sur la liste des 10 criminels les plus recherchés par le FBI. Après des mois de cavale, Mitnick s’est fait arrêter en 1995 et a reçu une condamnation de 5 ans de prison.

Ses frasques ont été maintes fois racontées dans divers romans, notamment Takedown et Ghost in the Wires. Depuis sa sortie de prison, Kevin Mitnick a publié divers ouvrages sur la sécurité informatique, dont L’art de la supercherie et L’art de l’intrusion. De plus, il s’est tranquillement positionné comme spécialiste en fondant sa firme de sécurité informatique, Mitnick Security.

La commercialisation des vulnérabilités

C’est justement à travers de son entreprise que Mitnick lance son nouveau service de courtage de failles «jour zéro», en ajoutant la branche Mitnick’s Absolute Zero Day Exploit Exchange à sa liste de services offerts.

On ne se leurrera pas, le commerce des vulnérabilités informatiques existe depuis belle lurette. Il suffit de faire un tour sur les forums dédiés au piratage informatique pour s’en rendre compte. Des criminels informatiques s’échangent des techniques de piratage et des failles informatiques contre des services, des sommes d’argent, ou des biens. Bref, c’est une pratique courante, mais elle est généralement déployée à petite échelle.

Il ne faut qu’un pas pour transformer ces vulnérabilités en véritables armes informatiques capables d’engendrer des «dégâts». Bien exploitées contre des cibles précises, ces failles informatiques pourraient éventuellement déstabiliser des organisations, voire des sociétés.

En fait, ce qu’il y a de nouveau avec le service offert par Mitnick est le fait qu’il se positionne à la fois comme une agence de courtage des failles de type «jour zéro» – les pirates peuvent en effet passer par lui pour revendre des vulnérabilités – et à la fois comme une agence de recherche en sécurité informatique alimentant ce marché. De plus, ce qui est marquant, c’est que le tout soit fait de manière si ouverte avec un prix annoncé d’avance : 100 000$ US pour chaque vulnérabilité. Dans le cas où la faille provient d’un tiers, le prix demeure le même, mais Mitcnick Security se gardera une cote.

Autre élément important à mentionner : la réputation de Mitnick. Le personnage est très connu dans le milieu de la sécurité informatique, et sa notoriété a tendance à le devancer. Le voir se lancer dans une telle entreprise aura probablement des répercussions sur un marché qui, jusqu’alors, bénéficiait d’un anonymat relatif. Or, pour ces marchands de cyberarmes, comme Vupen, Netragard, Exodus Intelligence, et Endgame Systems, la discrétion est un avantage certain, principalement parce que l’on peut se questionner sur les motivations profondes des clients qui se dotent de tels services.

Car avouons-le, il ne faut qu’un pas pour transformer ces vulnérabilités en véritables armes informatiques capables d’engendrer des «dégâts». Bien exploitées contre des cibles précises, ces failles informatiques pourraient éventuellement déstabiliser des organisations, voire des sociétés. C’est d’ailleurs une crainte récemment évoquée par le New York State Department of Financial Services qui affirme que les vulnérabilités technologiques pesant sur le système financier ont le potentiel d’engendrer des catastrophes économiques.

Vous souvenez-vous du film Hackers? Eh bien, le piratage informatique n'a rien à voir avec ce long-métrage (Photo : United Artists).
Vous souvenez-vous du film Hackers? Eh bien, le piratage informatique n’a rien à voir avec ce long-métrage (Photo : United Artists).

Certes, pour l’heure, ces vulnérabilités ne feront probablement pas couler de sang; parler de catastrophe est peut-être une inflation du risque. Néanmoins, dans quelques années, alors que la plupart des automobiles et des systèmes médicaux seront connectés à Internet, la situation pourrait rapidement changer. Le commerce des cyberarmes pourrait donc faire couler beaucoup d’encre dans les mois à venir.

La clientèle cible

On peut se demander quel est le type de clients qui peut être intéressé par ce genre de commerce. Mitnick clame déjà haut et fort qu’il filtrera ses clients et qu’il est hors de question de vendre ses produits au gouvernement syrien par exemple. Cependant, en délaissant son chapeau blanc de spécialiste strictement dédié à la sécurité informatique pour enfiler son chapeau gris de pirate informatique à l’éthique élastique, le consultant passe nécessairement dans un territoire plus ombrageux des conflits informatiques au sens large.

Il est effectivement fort probable que les clients de Mitnick Security proviennent de tous les secteurs, tant du domaine privé que du secteur public. Cela servira donc assurément à alimenter l’espionnage industriel, mais aussi différents cyberconflits qui se déroulent sous le radar des médias. On pourra aussi penser que certaines grandes entreprises souhaiteront acheter les failles de type «jour zéro» qui les concernent directement, histoire de se prémunir contre des cyberattaques potentielles.

«L’information, c’est le pouvoir» comme disait l’autre…

Dans tous les cas, on peut par conséquent affirmer que Kevin Mitnick s’est lancé dans le commerce des armes. Ce ne sont pas des armes utilisant des munitions, mais plutôt des lignes de codes. Mitnick deviendra-t-il le seigneur de la cyberguerre? Un autre rôle pour Nicolas Cage?

Dernier articles

Abonnez-vous à nos réseaux sociaux