Vupen : fleuron de la technologie ou trafiquant d’armes ?

Ecrit par Protéger Son Image le 18 décembre 2013
Sécurité 1 commentaire
Vupen : fleuron de la technologie ou trafiquant d’armes ?

Vupen, société française spécialisée dans la détection de faille de logiciel, alimente la polémique. Certains voient en cette start-up une version high-tech des trafiquants d’armes. D’autres jugent son activité d’une importance stratégique capitale. Bienvenue dans le monde de la cyberguerre.

 

Juin 2010, la centrale nucléaire de Natanz en Iran est en alerte maximum. Les défaillances du système de contrôle entrainent plusieurs explosions. A l’origine de l’incident, un virus informatique, le Stuxnet, mis au point par les agences de sécurité israélienne et américaine. L’étude du Stuxnet révélera qu’il utilise des failles très rares du logiciel Windows. Les experts soupçonnent les entreprises spécialisées dans la recherche de vulnérabilité de logiciels, telle que Vupen, d’avoir vendu leurs découvertes aux services secrets.

 

Piratage de Google, Adobe, Windows

Entrer dans le secteur d’activité de Vupen revient à plonger de plein pied dans le monde de la cyberguerre. Ce nouveau type de conflit est aujourd’hui en pleine croissance. Certains gouvernements s’alarment même à l’idée d’un « Pearl Harbour » numérique. Dans ce contexte, pour nombres d’experts, Vupen n’est rien moins qu’un trafiquant d’armes. Il faut dire que les métiers de la société créée par Chaouki Bekrar se situent aux confins du business classique et du marché de la guerre. L’activité principale de Vupen consiste à pirater les logiciels des principaux éditeurs mondiaux tels que Google Chrome, Internet explorer, Adobe Flash Player, Safari, Windows. Une fois validée, la méthode de hacking est tout simplement revendue.

 

Un marché estimé à un milliard de dollars

Depuis sa base de Montpellier, Vupen s’est rapidement fait connaître dans le monde entier. Notamment, en participant aux concours de hacking Pwn2Own organisés par la conférence CanSecWest à Vancouver. La start-up est d’ailleurs sortie victorieuse de cette compétition en 2011, 2012 et 2013. En 2012, Vupen a gagné ce concours en piratant Google Chrome. A l’époque, Google offrait une prime de 60 000 dollars à qui réussirait à hacker son navigateur. Le vainqueur s’engageant en contrepartie à livrer à la société californienne la méthode de piratage. Chaouki Bekrar avait refusé le prix et par la même de livrer son secret. Il était ensuite aisé d’imaginer qu’il le réservait à un client plus lucratif.

 

La tentation est en effet grande. Certaines failles informatiques sont de véritables mines d’or. Vendues sous la forme d’un fichier de quelques kilooctets à peine, appelé dans le jargon du métier zero day, ces failles sont aujourd’hui très recherchées. Si leur prix de base oscille autour de 150 OOO dollars, leur valeur peut parfois dépasser le million de dollars. Tout dépend du fichier piraté et de la rareté de la faille. Les états et organisations publiques sont les principaux acheteurs. Aucun chiffre sur le montant de ce marché n’a été rendu public, mais les experts tablent sur une enveloppe globale allant de 500 millions à un milliard de dollars. Très loin du prix de la compensation offerte par Google. Le temps des hackers libertaires qui offraient gracieusement leurs fichiers aux éditeurs piratés, paraît aujourd’hui définitivement révolu.

 

Un jeu dangereux

Les failles informatiques ont un gigantesque pouvoir de nuisance. Les dégâts provoqués peuvent entrainer des coûts de plusieurs dizaines de milliards de dollars. C’est d’ailleurs ce qui en fait leur valeur. Elles se révèlent être des armes redoutables, aussi bien dans la guerre classique, que la guerre économique. Cette dimension stratégique de l’activité des hackers fait polémique. Leurs découvertes peuvent en effet renforcer tel ou tel état, ou telle ou telle organisation. De là à imaginer des ventes occultes à des clients peu recommandables, il n’y a qu’un pas.

 

Pour se défendre, Vupen affirme ne vendre qu’à des organismes d’état, précisant que les pays clients font partie de la zone OTAN et de ses alliés. Une manière d’affirmer que les armes informatiques ne sont fournies qu’à des pays démocratiques, amis de la France. Mais pour les détracteurs de Vupen, cette précaution ne vaut rien. Rien n’assure en effet, qu’une faille ne puisse être revendue plusieurs fois et au final atterrir dans l’arsenal d’une organisation ennemie. Morgan Marquis-Boire, chercheur canadien travaillant pour Google, affirme avoir retrouvé trace d’une faille découverte par Vupen dans un site du gouvernement marocain.

 

D’autres failles découvertes par les hackers, ont par exemple transitées par le système de la police égyptienne, pour être ensuite retrouvées à Bahreïn, au Koweït, au Turkménistan, en Ethiopie jusqu’à Brunei. Certains opposants au business de la cyberguerre, comme Christopher Soghoian, de l’American Civil Liberties Union, n’hésitent pas à dire que les états démocratiques jouent avec le feu. Une arme informatique vendue par Vupen pourrait ainsi rapidement être retournée contrela France.

 

Arme de dissuasion informatique

Cependant Vupen est loin de ne compter que des détracteurs. Dans le monde de la cyberguerre, nombreux sont ceux pour qui l’activité des sociétés spécialisées dans la vulnérabilité des logiciels est étroitement surveillée par les services secrets. Vupen agirait sous le regard de la DCRI, Endgame aux Etats-Unis sous celui de la NSA et Coseinc basée à Singapour sous celui des services secrets chinois. Tout comme l’armement classique, l’armement informatique ferait l’objet d’un contrôle étroit des états. Certains hackers imaginent même que des accords ont été passés avec les services secrets. Vupen participerait ainsi indirectement à la stratégie de défense dela France.

 

D’autres défenseurs de Chaouki Bekrar voient en lui un entrepreneur qui a su créer l’un des fleurons français de l’informatique. Notant le retard dela Francedans la cyber-stratégie, ils estiment que l’activité de Vupen est d’une importance capitale pour l’hexagone. Il est vrai qu’en Europe, les allemands et les anglais ont pris de l’avance sur ce terrain. Depuis longtemps ces états se sont alliés avec les hackers pour créer des unités de cyber-offensive, dont le but est de créer des armes de dissuasions informatiques.

 

 

Entre accusations d’espionnage et activité hautement stratégique, il est malaisé de se faire une opinion. Une chose est sûre, la polémique n’est pas prête de retomber. Elle a d’ailleurs connu un rebondissement avec l’annonce par Vupen de son installation aux Etats-Unis dans le Maryland… à quelques kilomètres à peine du siège de la NSA ! De là à voir dans la start-up française, un allié d’une version numérique de Big Brother, beaucoup aujourd’hui franchissent ce pas. On peut néanmoins penser que dans ce monde de la cyberguerre, les seules déclarations de bonnes intentions ne suffisent pas. L’alliance des états avec les pirates, semble être devenue une nécessité. Reste à définir le cadre de cette collaboration.

  • Raphael

    C’est un monde plutôt inquiétant.