La NSA communique sur ses 0Days

C-_Users_PC_Desktop_NSALe monde change, après la CIA, c’est au tour de la National Security Agency de communiquer. Les espions de l’Oncle Sam reviennent sur l’utilisation des 0Days qu’ils possèdent. Sur 100, il n’en garderait que 9.

Après plusieurs affaires traitant de l’espionnage informatique, la NSA, les services de renseignements américains, ont décidé de communiquer sur les 0Day qu’ils possèdent. Pour rappel, un 0Day est une faille informatique qui n’est pas publique, qui n’est donc pas connue, qui n’est donc pas corrigée. Un bien précieux qui se vend très cher. Des sociétés comme feu K-Otik-FrIRST-VUPEN baptisée, aujourd’hui Zerodium, ou encore Endgame, Netragard, 0Day Today… en font un commerce qu’ils indiquent comme rentable. Par exemple, ZATAZ a pu constater que la faille visant vBulletin 5.x.x était commercialisée, il y a encore peu, 5300 dollars; que le moyen de transformer un fichier malveillant (.exe) en version PowerPoint, était vendu 3000 dollars.

La NSA a été fortement critiquée depuis les fuites de Snowden. De nombreuses questions ont été posées au gouvernement des États-Unis sur les activités de l’agence et sur sa politique de divulgation des « bugs » que la NSA pouvait découvrir. Le coordinateur de la cybersécurité du président Barack Obama, Michael Daniel, a indiqué que la NSA avait changé sa communication en relation avec le programme de divulgation des failles de sécurité. Juste après cette déclaration, l’Electronic Frontier Foundation a poursuivi le gouvernement des États-Unis pour en savoir plus. Dans un document édité sur le site officiel de la NSA, on y apprend que 91% des 0days de la NSA sont communiquées aux entreprises. 9% de ces failles sont gardées par la NSA pour être exploitées.

vbulletin zataz

« Le Conseil national de sécurité a établi un processus inter organisations afin de considérer la diffusion, ou non, d’une vulnérabilité, a pu lire ZATAZ dans le document de la NSA. Ce processus exige du gouvernement une réflexion liée à de nombreux facteurs, y compris l’importance de l’information pour la sécurité de la nation. Bien que ces décisions peuvent être très complexes, la partialité du gouvernement est de divulguer de façon responsable et discrètement les vulnérabilités découvertes« .

Pour rappel, la NSA indique que la cybersécurité doit être un atout pour les Etats-Unis, et un problème pour ses adversaires.

Poster un commentaire