 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Les failles de sécurité ont leur place de marché
par mail
l'article
C’est, ni plus ni moins, une bombe dans le milieu de la sécurité informatique. La société suisse WSLabi est la première à mettre en place une place de marché pour les vulnérabilités. Concrètement, les hackers pourront désormais monnayer les résultats de leur recherche directement sur Internet, au travers d’un système d’enchères semblable à celui d’eBay.
Plusieurs méthodes de vente sont proposées. Le vendeur peut choisir l’enchère classique – le meilleur offrant – qu’il est possible de réitérer plusieurs fois. Il peut également retenir l’enchère avec vente exclusive qui définira un seul et unique acheteur. Enfin, il peut vendre ses informations à prix fixe au plus grand nombre. Pour chaque vente conclue, WSLabi retient une commission de deux fois 10 % auprès du vendeur et de l’acheteur.
Déjà 160 inscrits
“ Notre place de marché comble un vide dans le marché de la sécurité entre d’une part les acteurs de l’industrie informatique – éditeurs, agences gouvernementales, entreprises – et les hackers d’autre part qui trouvent les failles sans être rémunérés à leur juste valeur ”, explique Herman Zamporiolo, PDG de WSLabi.
Le site attire déjà du monde. En quelques jours, WSLabi revendique déjà 160 inscrits, pour moitié des hackers et pour moitié des acheteurs. Le potentiel du marché peut être assez important. Sur son blog, Gunter Ollmann, le directeur de la stratégie chez IBM ISS, estime à 139 362 le nombre de vulnérabilités repérées en 2006. Mais seules 7 247 ont été rendues publiques. Les autres, selon lui, sont découvertes principalement dans le cadre de prestations informatiques : tests de vulnérabilité, audit de sécurité, etc. Une partie de ces vulnérabilités restées secrètes pourraient trouver acquéreur en Suisse.
Reste que cette nouvelle place de marché pose également des problèmes éthiques. “ Cela fait froid dans le dos, explique Francis Ia, responsable avant-vente chez Aventail. Cela revient à légitimer et à rendre lucratif les attaques contre les systèmes informatiques, ce qui peut entraîner un certain nombre de dérives. Certains pourront créer des maladies, simplement pour mieux vendre le remède. ”
Il faut montrer patte blanche
Les responsables de WSLabi essayent, évidemment, de minimiser les risques. Avant de pouvoir se servir de la plate-forme, chaque utilisateur doit montrer patte blanche en fournissant un certain nombre de ses données personnelles. Les vendeurs doivent, par ailleurs, s’engager à ne pas fournir d'informations de sécurité provenant d’une activité ou d’une source illégale. “ Mais il sera impossible de tout éviter, précise Roberto Preatoni, directeur stratégique chez WSLabi. Si l’on vend des couteaux, on ne peut jamais être sûr qu’un client n’utilise pas son achat pour quelque chose de mal. ”
Si la plate-forme fonctionne bien, elle risque en tout cas de chambouler quelques habitudes. Les mauvais hackers, qui vendent leurs informations aux réseaux criminels, pourraient ainsi être amenés à préférer une rémunération légale. Les bons hackers qui travaillent dans des centres de recherche privés ou publics pourraient être incités à se mettre à leur compte, d’autant plus que ce type d’activité n’exige pas un investissement matériel énorme.
Les perdants seront peut-être les éditeurs de solutions de sécurité, qui devront payer plus pour garder une longueur d’avance sur le marché.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
