Newsletter Sécurité 05/10 2016, Mais non, un chercheur de failles n’est pas forcément une canaille

Bonjour,

Chaque nouvelle application, chaque innovation dans le domaine du numérique porte son lot de vulnérabilités. Tant que les développeurs ne produiront pas des applications ou des logiciels systèmes avec comme principal fil conducteur et comme credo le « security by design »,  tant que leurs produits n’auront pas été vérifiés par des preuves formelles, les failles qu’ils laissent seront autant de points d’accès pour les cyberprédateurs. Soit la faille est connue de l’éditeur et fait l’objet d’une nouvelle version du logiciel, encore faut-il l’installer, soit elle n’est pas connue de l’éditeur, faille dite « du jour zéro », et le passage est semé de pétales de roses pour l’agresseur.

Quand un chercheur de failles décèle une vulnérabilité dans un logiciel, trois solutions s’offrent à lui :

  1. La signaler tout de suite à l'éditeur. Réaction honnête mais qui peut lui attirer des ennuis. Ca s'est déjà vu.
  2. La vendre à un groupe peu recommandable. C’est ce qui rapporte le plus, y compris parfois en jours de privation de liberté. L'entreprise Zerodium, fondée par un Français, propose actuellement 1,5 millions de dollars pour qui lui fournirait une faille "du jour 0" permettant de jailbreaker un iPhone sous IOS 10 sans que la victime ne s'en aperçoive. Notons que pour un smartphone sous Androïd Nougat, Zerodium ne propose que 200 000 dollars. Pour revendre ces failles à qui ? C'est hors sujet de cette lettre.
  3. En faire part au client à qui il a proposé ses services de recherche de failles. Cette action doit être encadrée par un contrat qui prévoit toutes les implications de confidentialité sans oublier les aspects juridiques. La recherche de failles dans ce but est ce qu’on appelle le "Bug Bounty". On peut en faire son métier.

Le Lundi de l’IE d’octobre du Cercle d’Intelligence Economique du Medef Ile-de-France illustrera cette troisième solution, le lundi 17 octobre 18h00-20h00, dans un amphi de 300 places, 10 rue du Débarcadère 75017 Paris, métro Porte Maillot.

Yassir Kazar, expert technique, président de la plateforme française de Bug Bounty Yogosha et maître Isabelle Landreau, experte juridique, docteur en droit, avocate à la cour au barreau de Paris, animeront cet évènement sur le thème « La commercialisation des failles de sécurité : Un nouveau marché blanc » et répondront ensuite à vos questions.

Isabelle et Yassir sont tous deux membres de l’ARCSI - Association des Réservistes du Chiffre et de la Sécurité de l’Information - ce qui garantit à notre évènement un haut niveau d’expertise et des présentations et réponses à vos questions qui seront certainement pertinentes.

Évènement gratuit, ouvert à tous, propice à développer une culture technique et juridique sur la sécurité du numérique dans une ambiance très conviviale. Vous avez été nombreux au Lundi de l’IE de septembre à venir assister à la pièce de théâtre que nous avons jouée sur les tourments d'un patron qui a subi une cyberattaque et qui va voir son avocate, Venez au Lundi de l’IE d’octobre, ce sera là encore du grand spectacle.

Inscription sur : http://www.medef92.fr/lundi-de-lie-bug-bounty.html

Le terrorisme tue. Il tue aussi des entreprises, restaurants qui voient leurs tables désertées, hôtels qui voient leurs réservations annulées. J’étais à Nice en juillet, haut lieu du tourisme. Outre l’ambiance qui n’était pas cette année celle qui accompagne habituellement l’insouciance des vacanciers, il y avait moins de monde en ville et sur les plages. Comment devons-nous réagir ? Subir ? Non faire face ! Ce sera le thème du colloque annuel du Cercle d’Intelligence Economique du Medef Ile-de-France, le lundi 28 novembre 17h30 à 20h00 au 10 rue du débarcadère Paris 17e. Cet évènement est organisé par Bernard Besson, qui a été un haut fonctionnaire au Ministère de l’Intérieur. Il est actuellement enseignant et membre du collège de l'académie d'Intelligence économique et auteur de romans à succès. Des personnalités et aussi des petits commerçants qui ont subi les rigueurs des conséquences des attentats nous diront comment ils ont fait face.

Vous êtes accrocs à la messagerie, vous êtes suspendus aux réseaux sociaux ? Vous dormez avec votre smartphone sous l’oreiller qui sera bientôt aussi un objet connecté ? Plutôt que réfléchir, vous cherchez directement la réponse sur Google ? Vous n’êtes pas les seuls. Le Mercredi 16 novembre 09h00 à 20h00 à École du Val de Grace, Paris 5e, auront lieu les 10e rencontres de l’ARCSI sur le thème général de La dépendance numérique. Les plus grands experts couvriront cette tendance de la société d’aujourd’hui. Voir agenda à la fin de cette lettre.

Et comme nous parlons de l’ARCSI, je replace ici la proposition de notre ami ARCSIste Lionel Guillet qui édite une fort intéressante lettre d’information sur le numérique. Il vient de recevoir les éloges du professeur Jean-Jacques Quisquater, l’éminent cryptologue, pour la qualité de sa lettre, je cite JJ Quisquater : « Fascinant, régulier, troublant et quasi exhaustif résumé de la vie chaotique de notre monde cybersécurisé ». Moi aussi je suis un fervent amateur des lettres de Lionel. Vous voulez aussi être inclus dans ses listes de distribution ? Demandez-le-lui par courriel : guillet.lionel@gmail.com.

Les adhérents, tous bénévoles, de l’association CyberEdu (www.cyberedu.fr), créée sous l’initiative de l’ANSSI, ont comme mission de récolter, développer et maintenir à jour du matériel pédagogique sur diverses facettes de la cybersécurité et d’organiser des colloques à Paris et en Régions pour que les formateurs, non experts en cybersécurité, se les approprient et forment leurs élèves. Aucun informaticien, aucun citoyen dans un deuxième temps ne devra sortir de l’enseignement supérieur sans avoir intégré au moins les premiers rudiments de la sécurité du numérique. Vaste programme, noble ambition, début de la sagesse et d’un monde plus sûr. Vous entendrez parler de cette association et vous verrez son label fleurir sur les enseignements qui tiendront compte de ce qui vient d’être précisé.

À bientôt. Avec nous, l’aventure est permanente et ceux qui nous rejoindront y trouveront leur bonheur.

Gérard Peliks, président de l'atelier sécurité et VP de Forum ATENA

AGENDA du 17 octobre au 28 novembre 2016

  • Lundi 17 octobre 18h00 à 20h00 : 10 rue du débarcadère Paris, Lundi de l’IE  d’octobre – Le Bug Bounty ou la recherche de failles dans les applications des clients, dans le cadre de la loi - avec maître Isabelle Landreau et Yassir Kazar. Inscription en http://www.medef92.fr/lundi-de-lie-bug-bounty.html
  • Mercredi 19 octobre 19h00-22h00 : Dîner networking de Forum ATENA, au Sénat autour de Patrick Chaise, sénateur de l’Ain et président de l’AVICCA (Association des villes et collectivités pour les communications électroniques et l'audiovisuel) http://www.forumatena.org/diner-networking-patrick-chaize-avicca
  • Mardi 15 novembre  13h30-19h30 : au Numa 29 rue du Caire 75002  - 1ère Conférence annuelle du CEFCYS (CErcle des Femmes de la CYberSécurité) - Cybersécurité frein ou moteur à l'innovation ? -  https://www.eventbrite.fr/e/billets-conference-annuelle-de-cefcys-27491765611     
  • Mercredi 16 novembre 09h00 à 20h00 : École du Val de Grace Paris 5e, « Les 10e rencontres de l’ARCSI » – La dépendance au numérique. http://www.arcsi.fr/prog_collq_161116.html
  • Lundi 28 novembre 17h30 à 20h00 : 10 rue du débarcadère Paris Colloque annuel du Cercle IE du Medef Ile-de-France – L’entreprise et les attentats : Faire Face ! -  Inscriptions par e-mail auprès de Béatrice Laurent : <b.laurent@medefhautsdeseine.org>