Publié le 29 / 11 / 2018

On entend souvent parler des vulnérabilités logicielles, de leurs impacts sur les éditeurs et sur les solutions, mais moins souvent de leur business. En effet, derrière ces vulnérabilités, toutes classées selon un référentiel très codifié, se cache une manne financière très lucrative pour ceux qui se lancent dans leur recherche et leur commerce. 

Nos experts en vulnérabilités vous expliquent tout. 

Lorsqu’un développeur utilise un composant logiciel externe pour compléter une solution en cours de développement, il n’a aucune garantie sur la maturité en sécurité de ce composant et son maintien en condition de sécurité dans le temps. Ces composants parfois Open Source sont appelés COTS (Commercial On The Shelve) et sont intégrés pour optimiser le temps et les coûts de développement. 

Afin d’identifier les vulnérabilités impactant ses COTS, un développeur doit alors consulter une des bases de données centralisées des vulnérabilités publiques des composants logiciels. 

La plus célèbre est la base NVD (National Vulnerability Database) maintenue par le NIST américain (National Institute of Standards and Technology). 

Dans cette base, les vulnérabilités y sont classées en tant que CVE (Common Vulnerabilities and Exposures) et des normes formalisent cette classification. 

Chaque vulnérabilité dispose d’une fiche descriptive, d’un numéro et d’un score CVSS (Common Vulnerability Scoring System) qui dépend d’un certain nombre de paramètres tels que le vecteur d’attaque, la complexité d’exploitation, l’impact etc. 

Ce système de classification permet de comparer des vulnérabilités les unes aux autres, de les connaître, et de disposer d’un langage commun dans le monde entier pour échanger et les traiter. 

Le score CVSS d’une vulnérabilité va de 0 à 10, 10 signifiant la gravité la plus élevée. 

Chaque jour, des vulnérabilités de toutes sortes sont recensées depuis les 4 coins de la planète et l’on constate que le marché autour de ces vulnérabilités est colossal. 

En effet, le « cycle de vie » d’une vulnérabilité varie selon que celui qui l’a détecté souhaite réaliser un profit ou non. 

Ainsi, nous constatons trois cycles de vie :

1. Une vulnérabilité est détectée par un chercheur. Il en informe l’éditeur afin que celui-ci publie un correctif. Le chercheur contacte le NVD afin qu’un numéro de CVE soit attribué à la vulnérabilité, sans en révéler tous les détails. Le public est donc prévenu qu’une vulnérabilité existe, sans que des codes d’attaque ne soient publiés. A noter que, dans le cas de faille importante, le chercheur va généralement vouloir publier les détails de l'exploitation de la faille au bout d’un temps plus ou moins court. 

2. Les éditeurs eux-mêmes missionnent des analystes, via des plateformes de Bug bounty, pour chercher et trouver des vulnérabilités, moyennant une prime s’ils en trouvent. Les éditeurs anticipent ainsi des fuites de vulnérabilités, ce qui leur coûte très cher, notamment lorsqu'ils sont cotés en bourse pour certains. 

3. Un chercheur indépendant ou une société spécialisée découvre une vulnérabilité et la propose au plus offrant, peu importe de qui il s’agit. C’est ce que l’on appelle une vulnérabilité 0-Day (zéro-Day), ce qui indique qu’elle est exploitable immédiatement et qu’aucun patch n’est encore disponible. En fonction de son impact sur le composant, la vulnérabilité peut valoir très cher. 

Face à la recrudescence de ce marché de la vulnérabilité et ses dérives de plus en plus importantes, plusieurs états dont l’Etat français ont décidé de mettre en place des règles de bonnes conduites, qui devraient permettre de mieux contrôler le marché.