En deux lignes de jargon pour initiés, la société Vupen annonce sur Twitter, le 30 octobre 2012 à 14 h 16, qu'elle a trouvé des failles de sécurité inédites dans Windows 8. Microsoft venait à peine de lancer ce nouveau système d'exploitation pour ordinateurs, téléphones et tablettes. Grâce à la découverte de cette "vulnérabilité", Vupen, ou une autre équipe, va pouvoir créer un logiciel d'attaque capable de prendre le contrôle à distance d'un appareil équipé de Windows 8.
Cette société française, basée à Montpellier, est connue dans le milieu de la sécurité informatique. En mars 2011, lors d'un concours de hacking organisé par la conférence CanSecWest à Vancouver (Canada), Vupen avait remporté un prix en prenant le contrôle d'un Macintosh grâce à une faille dans le navigateur Safari. A l'époque, le patron de la société, Chaouki Bekrar, avait expliqué au magazine Zdnet que l'attaque était imparable : "La victime visite une page Web, et elle est piégée. Aucune autre interaction n'est nécessaire."
En 2012, Vupen avait de nouveau gagné le concours de Vancouver en faisant deux démonstrations de piratage de navigateurs - Chrome, de Google, et Explorer 9, de Microsoft. A l'époque, Google offrait une prime de 60 000 dollars à celui qui réussirait une attaque contre Chrome à condition qu'il lui livre le mode d'emploi. Or, Chaouki Bekrar avait fait scandale en refusant l'offre de Google. Selon la presse américaine, il aurait déclaré qu'il ne traiterait jamais avec Google, car il gardait ce type de trouvaille pour ses clients, qui payaient bien plus cher. Google avait répliqué en le traitant "d'opportuniste dénué de sens moral".
Qui sont les clients de sociétés comme Vupen ? Quand un hackeur découvre une méthode pour pénétrer un ordinateur, il est censé en informer l'éditeur du logiciel, ou une société de sécurité, qui va vérifier la validité de l'exploit et mettre en place une parade. Pendant longtemps, les éditeurs ont profité gratuitement de ce travail, mais dans les années 2000, des hackeurs américains ont lancé un mouvement pour exiger une rémunération. Aujourd'hui, des dizaines d'éditeurs, de sites et de compagnies de télécommunications publient leurs tarifs d'achat de vulnérabilités - de 100 à 20 000 dollars, selon la complexité et l'originalité.
ESPIONNAGE ET VOL DE DONNÉES
Pourtant, quelques entreprises ont choisi un marché plus lucratif : la "sécurité offensive" - un euphémisme pour désigner l'espionnage ou le vol de données. Au lieu de traiter avec les éditeurs, elles vendent leurs découvertes au plus offrant, c'est-à-dire souvent à des organismes officiels - police, armée, services secrets - qui s'en servent pour traquer des délinquants, surveiller des entreprises et des gouvernements étrangers, ou leurs propres citoyens.
Certains pays se sont dotés d'outils capables de saboter des serveurs, comme ce fut le cas en 2010 avec l'attaque d'une centrale iranienne d'enrichissement d'uranium par le virus Stuxnet, sans doute créé par les Etats-Unis et Israël. Ils ont donc besoin de connaître sans cesse des failles inédites dans les logiciels utilisés sur les réseaux. Pour cela, ils s'adressent au secteur privé.
Aux Etats-Unis, les fabricants d'armes comme Raytheon et Northrop Grumman ont ouvert des départements de "sécurité informatique offensive". Parallèlement, plusieurs sociétés américaines se sont spécialisées dans cette activité. La plus célèbre est Immunity, basée à Miami Beach, qui organise chaque année une conférence baptisée "Infiltrate". Immunity fait la promotion de plusieurs suites logicielles offrant une panoplie très variée de méthodes de pénétration, y compris la création de faux sites piégés ressemblant à Amazon, eBay, LinkedIn ou Hotmail.
On a aussi vu apparaître des courtiers, qui achètent les failles de sécurité découvertes par des indépendants et les revendent au plus offrant. Parmi les mieux cotés, Netragard au Massachusetts, ou The Grugq, un Sud-Africain vivant à Bangkok qui se vante de gagner des centaines de milliers de dollars par an.
L'Europe est présente sur ce marché. La société anglo-allemande Gamma Group vend un logiciel baptisé Finfisher, permettant d'activer à distance le micro d'un smartphone pour écouter les conversations alentour à l'insu de tous. Le gouvernement britannique a annoncé qu'il allait restreindre la vente de Finfisher, mais sans l'interdire. Une autre équipe est apparue en Italie sous le nom de Hacking Team.
La plus célèbre d'Europe reste Vupen, qui participe à de nombreux salons dans le monde - parfois en tant que sponsor officiel. Chaouki Bekrar n'a pas souhaité répondre aux questions du Monde mais il est très présent sur Twitter, où il fait son autopromotion, raconte des blagues et annonce ses découvertes. Il polémique aussi volontiers avec ses détracteurs, sur un ton ironique.
TRAFIQUANTS D'ARMES
Sur son site officiel, Vupen adopte un style plus sérieux et affirme que la société ne vend pas ses produits à n'importe qui. Elle respecte les embargos décrétés contre certains pays par l'Union européenne, les Nations unies et les Etats-Unis et commerce uniquement avec des Etats "de confiance", c'est-à-dire membres de l'OTAN, de l'Anzus (zone Pacifique) et de l'Asean (zone Asie), ainsi que leurs "Etats partenaires" - ce qui laisse en fait une marge de manoeuvre confortable.
Malgré ces précautions, Vupen et les autres sociétés de sécurité offensive se sont fait beaucoup d'ennemis. Aux Etats-Unis, les hackeurs libertaires, les associations de défense des libertés, les sociétés de sécurité classiques et les grands services Internet comme Google mènent contre elles des campagnes d'opinion très actives, en les assimilant à des trafiquants d'armes.
Ils se disent persuadés qu'en réalité les systèmes de sécurité offensive finissent toujours, par des voies détournées, entre les mains des gouvernements autoritaires, qui en font un usage intensif. Le chercheur canadien Morgan Marquis-Boire, qui travaille pour Google, affirme avoir trouvé un logiciel espion fabriqué par Hacking Team à Dubaï, dans l'ordinateur d'un opposant persécuté par le régime, puis dans un site "prodémocratie" du Maroc. Il soupçonne aussi ces deux Etats d'utiliser une faille découverte par Vupen. Le chercheur assure aussi que le logiciel espion Finfisher a été vendu à la police égyptienne, puis retrouvé à Bahreïn, au Koweït, au Turkménistan, en Ethiopie et à Brunei.
En fait, les groupes libertaires estiment que ces sociétés nuisent aux libertés publiques même quand elles travaillent pour les pays occidentaux, car un gouvernement démocratique ne devrait pas posséder de tels instruments. Le militant américain Christopher Soghoian, qui travaille pour l'American Civil Liberties Union, accuse son propre gouvernement d'être le meilleur client des marchands de vulnérabilités : "Microsoft et Google ne pourront jamais gagner une enchère contre l'US Army, l'US Navy ou la NSA." Il fait aussi remarquer que les pays occidentaux jouent avec le feu : "Une cyberarme vendue par Vupen pourra être revendue à l'infini, hors de tout contrôle - et donc être retournée contre la France. En informatique, l'effet boomerang est immédiat."
Cela dit, Chaouki Bekrar a aussi des alliés. Les hackeurs français le considèrent comme un des leurs car, dans sa jeunesse, il a eu des petits démêlés avec la justice pour des affaires de piratage. Certains affirment aussi que pour pouvoir travailler à son aise en France, il a peut-être passé un accord avec les services de renseignement. De même, l'informaticien Jérôme Notin, coordonnateur d'un grand projet public-privé de création du premier antivirus français, explique que les activités de Vupen ne le choquent pas : "Un Etat démocratique doit avoir les moyens de vérifier le comportement sur Internet de certaines personnes. Je souhaite la création d'un cadre juridique précis, qui vienne réglementer le commerce et l'usage des vulnérabilités."
"ARME DE DISSUASION"
D'autres vont plus loin. Eric Filiol, ancien officier du renseignement, spécialiste de cryptologie et aujourd'hui directeur du centre de recherche de l'ESIEA, l'école d'informatique de Laval, considère Vupen comme "un fleuron technologique de la France". Sans donner de détails, il affirme que "Chaouki Bekrar est un vrai chef d'entreprise, et un patriote, qui travaille au service de son pays". Bien sûr, Vupen vend aussi ses outils à des puissances étrangères, "mais c'est tant mieux, ça fait rentrer des devises".
Eric Filiol semble regretter que Vupen reste une exception car, selon lui, la France est en retard en matière de cyber-stratégie par rapport à ses voisins comme le Royaume-Uni et surtout l'Allemagne : "Les Allemands possèdent déjà des unités militaires de cyberoffensive, pas pour mener des attaques, mais comme arme de dissuasion." Pour cela, l'Etat allemand a su faire alliance avec les hackeurs, qui, de leur côté, ont créé une communauté solide, représentée par des institutions reconnues comme le Chaos Computer Club : "Bien sûr, explique Eric Filiol, les relations entre les fonctionnaires et les hackeurs sont compliquées, sur le mode "je t'aime, moi non plus", mais, dans l'ensemble, les échanges sont stables et productifs."
En revanche, selon lui, la France se cherche encore : "En matière de cyberoffensive, elle a la compétence, mais pas la volonté politique ni la doctrine militaire." L'une des raisons de ce retard serait que l'Etat n'a pas voulu comprendre la culture des hackeurs : "Il les considère comme des délinquants qu'il faut pourchasser : article 323 du code pénal, point final - pas la bonne façon de gérer des jeunes talents un peu rebelles." Fin 2012 cependant, l'armée française a lancé un projet de création d'une "réserve citoyenne cyber", appelée à devenir "un lien entre la société civile et la société militaire". Peut-être un premier pas vers la reconnaissance du rôle des hackeurs dans l'innovation.
