Ben, fils de la princesse Leia et de Han Solo, et Albert Gonzalez, pirate informatique reconnu coupable, ont bien des points en commun. Et pas seulement sur le plan capillaire. Ben et Albert ont tous deux succombé au pouvoir de séduction du côté obscur de la Force : Ben en canalisant les forces du mal de son grand-père Dark Vador et Albert en fondant le site malfaisant Shadowcrew.com, abusant ainsi de ses compétences de hacker pour subtiliser des informations de carte de crédit valant plusieurs millions.
La réalité peut afficher un côté obscur encore plus séduisant que celui de la Guerre des étoiles. Après tout, Ben n’a jamais semblé aller au-delà de ses caprices d’adolescent destructeurs lors de sa chute du côté obscur. Et il incarne seulement un personnage de fiction. Albert, quant à lui, est bien réel et possède des compétences étendues de piratage informatique. Son dernier exploit fut le vol de près de 130 millions de numéros de carte de crédit. Ses efforts ont payé, ou tout du moins sur le court terme : car les autorités ont déterré un baril rempli d’1,1 million de dollars en liquide dans le jardin de ses parents. Par ailleurs, Albert a accompli la moitié de sa peine de 20 ans de prison.
Je ne pense pas que ceci était le parcours auquel ses parents aspiraient lorsqu’ils lui ont offert son premier ordinateur à l’âge de huit ans.
Mais ce conte illustre parfaitement le pouvoir d’attraction du côté obscur. Les chercheurs de sécurité tentent de mesurer ce pouvoir d’attraction, et ils le font en dollars et bitcoins tout en traçant le prix de vente des vulnérabilités logicielles au jour zéro découvertes récemment. Mais lorsqu’il s’agit de gagner de l’argent sur la base des nouvelles vulnérabilités, les pirates informatiques se trouvent face à trois choix fondamentaux. Ils peuvent essayer de les exploiter par eux-mêmes, les vendre directement aux éditeurs logiciels ou les vendre dans les bas-fonds du web à un tiers qui prendra en charge la monétisation de cette découverte.
En voici un exemple actuel : un bogue de Windows a été vendu pour 90 000 dollars ce mois-ci sur un forum cybercriminel de langue russe. Il s’agissait d’une vulnérabilité logicielle de second niveau désignée par « élévation locale des privilèges » (local privilege escalation, ou LPE) qui, couplée avec une autre vulnérabilité, permet de livrer des saletés à l’utilisateur final.
Selon Krebsonsecurity, ce type de vulnérabilité pourrait aussi prétendre à l’obtention d’une grosse récompense offerte par le programme de primes de Microsoft. L’été dernier, Microsoft a relevé de 50 000 à 100 000 dollars sa récompense offerte pour des informations concernant les vulnérabilités qui permettraient de contourner la trousse à outils EMET (Enhanced Mitigation Experience Toolkit).
Mais il semble que l’appel du côté obscur se soit avéré plus puissant. Alors que le débat portant sur la valeur réelle de cette vulnérabilité du jour zéro spécifique fait rage, l’existence d’un marché florissant pour les vulnérabilités logicielles ne fait plus aucun doute. Le marché englobe des forums dédiés au cybercrime, des courtiers en exploit, des développeurs et bien entendu, des hackers.
Oui, du côté obscur est avec eux, et les récompenses sonnantes et trébuchantes ne manquent pas à l’appel.
Étant donné que les forums de cybercrime et les programmes de primes tels que Bugcrowd, utilisé par Avira, s’emploient à vérifier le parcours et la réputation des pirates informatiques au cas par cas, il peut être difficile de changer de côté. Mais comme l’a montré Kevin Mitnick, ce n’est pas impossible. Et pour vous assurer que votre ordinateur est protégé contre tous ceux qui n’ont pas su résister à l’appel du côté obscur, veillez à maintenir vos logiciels à jour grâce à Avira.