La marine américaine surprise par l'EFF en train d'essayer d'acheter des Zero-days pour exploiter un logiciel bien connu

La marine américaine essaie d’acheter des Zero-days de Microsoft, Adobe, Android, IBM, Apple, etc., l’EFF la prend la main dans le sac

Les cybercriminels à la recherche de Zero-days ne sont rien de nouveau, même les agences gouvernementales d’espionnage comme la NSA et le GCHQ s’adonnent de temps à autre à l’achat de Zero-days auprès de hackers pour exploiter les vulnérabilités des logiciels et placer des portes dérobées. Mais c’est la première fois que la marine américaine est repérée en train d’essayer d’acheter des Zero-days dans plusieurs logiciels bien connus.

La Electronic Frontier Foundation (EFF) a repéré la marine américaine sollicitant publiquement des personnes pour vendre des vulnérabilités de sécurité à des logiciels bien connus. Il semble que la marine américaine achetait également les Zero-days comme la NSA, pour créer des portes dérobées dans les logiciels.

L’offre d’achat de Zero-days a été listée sur le site gouvernemental FedBizOpps, qui a été supprimé peu après avoir été mis en avant par l’EFF. Sur le site, la marine américaine a détaillé pourquoi elle avait besoin des Zero-days. Elle déclare : « le gouvernement américain doit avoir accès à des informations sur les vulnérabilités, des rapports d’exploitation et des binaires d’exploitation opérationnels affectant des logiciels commerciaux largement utilisés et sur lesquels on compte ».

L’EFF a préservé le post qui mentionne que la marine américaine voulait acheter des Zero-days dans divers logiciels appartenant à Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC et Java. Le PDF est donné ci-dessous :

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Toutes les entreprises technologiques ci-dessus fabriquent des produits utilisés par des milliards d’utilisateurs chaque jour. D’après la liste de la marine américaine, il est évident qu’elle essaie de créer des portes dérobées dans autant de logiciels que possible.

« Ce qui est encore plus remarquable, c’est le peu de considération que le gouvernement semble avoir pour le processus de décision d’exploiter des vulnérabilités », écrit l’EFF dans un post de blog.

« Comme nous l’avons expliqué précédemment, la décision d’utiliser une vulnérabilité à des fins ‘offensives’ plutôt que de la divulguer au développeur est une décision qui privilégie la surveillance au détriment de la sécurité de millions d’utilisateurs. À son crédit, le gouvernement a reconnu que cette décision est extraordinairement importante dans chaque cas.

« La marine a essayé d’envoyer cette sollicitation particulière dans le trou de mémoire, mais nous espérons qu’à travers notre procès FOIA, nous pourrons éclairer davantage le conflit entre les déclarations publiques du gouvernement et ses pratiques apparentes concernant son stockage de Zero-days. »

Dans le même post de blog, l’EFF a déclaré qu’elle était en train de poursuivre le gouvernement américain concernant le VEP. Le blog continue en disant,

Ce qui est encore plus remarquable, c’est le peu de considération que le gouvernement semble avoir pour le processus de décision d’exploiter des vulnérabilités. Comme nous l’avons expliqué précédemment, la décision d’utiliser une vulnérabilité à des fins « offensives » plutôt que de la divulguer au développeur est une décision qui privilégie la surveillance au détriment de la sécurité de millions d’utilisateurs. À son crédit, le gouvernement a reconnu que cette décision est extraordinairement importante dans chaque cas. Il a même rapporté avoir « établi un processus de décision discipliné, rigoureux et de haut niveau pour la divulgation des vulnérabilités », qu’il appelle le Processus d’Équité des Vulnérabilités (VEP). Le gouvernement dit que le VEP est entièrement classé, et l’EFF poursuit pour obtenir sa divulgation.