-
Ajouter aux favoris
Les vulnérabilités n’ont pas d’odeur
jeudi 15 février 2018
La recherche de vulnérabilités est un business. Les chercheurs de failles en tirent profit et dans cette affaire, l'altruisme n’est pas de mise tout comme l’argent n’a pas d’odeur.
Plus on invente des logiciels et des objets intelligents, plus le nombre de vulnérabilités augmente, ce qui signifie qu'il y a encore plus d’argent qui tourne sur ce marché. Rien que du business !
Les chercheurs en sécurité, mais aussi les pirates, font de la recherche de vulnérabilités. Mais leurs buts ne sont pas les mêmes. Du moins, c’est ce qui semblait être le cas jusqu'à récemment.
Certains chercheurs de vulnérabilités collaborent avec des sociétés qui les engagent légalement et les rémunèrent via un contrat.
Certains chercheurs de failles agissent de leur propre initiative et rapportent ensuite les résultats aux éditeurs de logiciels. Mais il arrive que les éditeurs ne souhaitent pas les rémunérer pour ces informations et certains chercheurs se tournent alors vers le marché noir. Surtout si la situation se reproduit.
La citation ci-dessous montre que les cybercriminels ne sont pas forcément les seuls à vouloir tirer profit de la découverte de vulnérabilités.
« Un groupe de hackers travaillant pour la start-up MedSec a trouvé un moyen de pirater les stimulateurs cardiaques et les défibrilateurs fabriqués par un grand constructeur américain de matériel médical, St. Jude Medical. Cependant, au lieu de signaler à l'éditeur la vulnérabilité dans ses produits, les pirates ont contacté Carson Block, le Président de l’entreprise d’investissement Muddy Waters Capital, en lui proposant de diffuser comme des informations confirmées le fait que les appareils St. Jude Medical sont dangereux pour les patients. Selon le plan des pirates, dans le même temps, à la bourse, Block devait jouer à la baisse en s'engageant sur des affaires à court terme . Une fois la réputation de St. Jude Medical compromise, ses actions devaient tomber et Block pouvait en tirer profit. Plus le prix des actions est bas, plus les pirates gagnent.
L'annulation du contrat qui prévoyait l'acquisition de St.Jude Medical par Abbott Laboratoire pouvait donner un coup supplémentaire à l’entreprise. Dans son interview donnée à Bloomberg, Carson Block explique qu'en plus de sa spéculation à la baisse par rapport à St.Jude Medicla, il spécule à la hausse par rapport à Abbott Laboratories. Ainsi, quel que soit le résultat, il évite l’échec.
Mais le directeur général de MedSec Justine Bone a déclaré qu'il ne donnerait pas de temps à St. Jude Medical pour corriger les failles car ses avertissements précédents avaient déjà été ignorés. De plus, il existait une probabilité que la société assigne les pirates en justice. Aux dires de Bone, MedSec a contacté Muddy Waters car cette dernière avait déjà engagé des poursuites contre de grandes entreprises.
Ainsi, MedSec viole les principes éthiques de base liés aux enquêtes dans le domaine de la sécurité. »
http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah
Cette histoire soulève des questions éthiques :
- Si un pirate détecte une vulnérabilité critique, doit-il en parler ou pas ? Et si ce hacker a un contrat avec le fabricant de l'appareil en question ? Si le fabricant refuse de corriger la vulnérabilité ?
- Est-ce que le fabricant est le seul a être en mesure d'évaluer la nécessité de corriger des vulnérabilités (y compris dans les appareils déjà fabriqués) ? Dans la plupart des cas liés au matériel, même si le fabricant corrige une vulnérabilité dans les appareils déjà sortis, il se peut que de nombreuses personnes n’installent pas les mises à jour correspondantes. D'autre part, aucune mise à jour n'est prévue pour un grand nombre d'appareils !
Le projet Lumières sur la sécurité recommande
N'oublions pas que des vulnérabilités existent partout. Y compris dans les appareils sur lesquels il est impossible d'installer une protection et/ou un antivirus ! Souvent, ces équipements fonctionnent sans aucun contact avec l'éditeur. Autrement dit, les éditeurs ne sont pas en mesure de suivre l'état de sécurité des appareils déjà vendus et de corriger leurs systèmes de sécurité en sortant des mises à jour. Cela veut dire que les utilisateurs de ce type d'appareils prennent tout le risque. Par conséquent, les éditeurs ainsi que les consommateurs préfèrent ne pas parler des vulnérabilités, même au détriment de la sécurité des consommateurs. En d'autres mots, tout le monde sauf les pirates préfère le silence en ce qui concerne les vulnérabilités.
La société MedSec a été fondée en 2015 par Robert Bryan, un ancien responsable de Metaval Capital qui collaborait dans ce domaine avec les sociétés Cyrus Capital et Goldman Sachs. MedSec a son siège à Miami et propose des services de test et de sécurité des équipements médicaux. Il n'a jamais été rentable de rechercher des bogues dans ce type d'appareils, car il était impossible de vendre les résultats même aux éditeurs d'antivirus.
http://safe.cnews.ru/news/top/2016-08-29_hakery_rassekretili_dyru_v_kardiostimulyatorah
Et pourtant, on pense que ce sont les antivirus qui sont toujours responsables. Sinon, qui d'autre ?
- Lorsque vous achetez un appareil, assurez-vous qu'il est doté d'une option de mise à jour.
- Prenez connaissance de la procédure afin d'être certain que tout est clair.
- Installez les mises à jour déjà publiées avant l'utilisation de l'appareil.
- Trouvez le numéro de téléphone et l'adresse du support technique du fabricant de votre appareil. Dans une situation critique, chaque instant compte.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
06:10:04 2018-08-27
Неуёмный Обыватель
20:26:14 2018-07-17
Bernard
17:28:00 2018-02-15