Entre flou juridique et menaces subies, les chercheurs de vulnérabilités naviguent en eaux troubles

Des chiffres éloquents. Mi-décembre 2023, le système CVE de Mitre a identifié 37 272 vulnérabilités, pour 218 983 failles référencées. Quant au programme de Bug Bounty « Zero Day Initiative » (ZDI), il a identifié, toujours à la mi-décembre 2023, 1 763 vulnérabilités, à comparer aux 1 706 failles découvertes l’an dernier, à la même époque.

« Parmi les 1 763 vulnérabilités identifiées par le programme ZDI, toutes ne sont pas des ‘zero day’, c’est-à-dire qu’elles n’ont pas toutes fait l’objet d’une exploitation par des pirates [informatiques NDLR] ou été publiquement divulguées », déclare Nicolas Villetelle, Senior Sales Engineer chez Trend Micro, entreprise engagée dans le programme ZDI depuis 2005.

La plupart du temps, les éditeurs de logiciels accueillent favorablement les vulnérabilités identifiées dans le cadre d’un programme de Bug Bounty. Certains d’entre eux mettent d’ailleurs en place des systèmes de rémunération pour récompenser les chercheurs de failles. C’est le cas de Google, dont le programme de Bug Bounty, appelé « Vulnerability Reward Program » (VRP), a permis d’identifier pas moins de 2 900 vulnérabilités en 2022, avec un montant record de primes versées aux chercheurs : 12 millions de dollars (environ 11 millions d’euros).

Les « correctifs silencieux » pour diluer la divulgation publique des vulnérabilités

Cet accueil favorable n’est cependant pas systématique, tant s’en faut. Trend Micro dénonce notamment la montée en puissance des « correctifs silencieux », une pratique consistant à ralentir ou diluer la divulgation publique et la documentation des vulnérabilités et des correctifs.

Lors d’une session au Black Hat USA 2023, les représentants de Trend Micro Research ont révélé que les correctifs silencieux sont devenus particulièrement courants chez les fournisseurs de cloud. « Les entreprises s’abstiennent plus fréquemment d’attribuer un identifiant CVE (Common Vulnerabilities and Exposures) pour la documentation publique et émettent plutôt des correctifs en privé […]. L’absence de transparence ou de numéros de version pour les services cloud entrave l’évaluation des risques et prive les acteurs du marché d’informations précieuses pour améliorer la sécurité globale de l’écosystème », regrette le spécialiste de la cybersécurité, dans un communiqué datant d’août 2023.

Des menaces fréquentes rarement suivies de poursuites

Autre tendance à laquelle font face les chercheurs de vulnérabilités : les menaces proférées, voire les poursuites entamées par certaines entreprises auxquelles les failles sont signalées. « Cet environnement parfois hostile crée une incitation à ne pas continuer un travail pourtant bénéfique pour tous. Cela incite aussi certains chercheurs à se détourner du marché officiel, qu’on appelle le marché blanc, pour se diriger vers le marché gris (où des brokers interviennent) voire vers le marché noir. Ces deux marchés, le gris et le noir, sont d’ailleurs souvent beaucoup plus rémunérateurs que le marché blanc », note Laurent Bernard, analyste des politiques publiques à l’OCDE (Organisation de coopération et de développement économiques).

« Le fait que les chercheurs soient menacés fait consensus dans toutes les communautés, que ce soient les États membres de l’OCDE qui s’expriment sur le sujet, le secteur privé, les éditeurs, et les hackers eux-mêmes. Ce qui est très compliqué est que cette menace se transforme rarement en poursuites judiciaires, ce qui créerait de la jurisprudence. Là, tout passe sous le radar », regrette Laurent Bernard.

L’adoption de politiques faisant en sorte que les chercheurs ne soient ni menacés ni poursuivis en justice, quand ils suivent de bonnes pratiques, s’impose donc. « Le problème est de définir ce qu’est une bonne pratique. Or il n’existe aujourd’hui pas de bonnes pratiques faisant consensus auxquelles les chercheurs, les entreprises et même les juges, en cas de procès, pourraient se référer. Nous sommes dans un domaine très nouveau, très récent, dans lequel il faut malgré tout continuer d’avancer », poursuit Laurent Bernard.

« Continuer d’avancer », cela signifie notamment travailler sur la question du dysfonctionnement des marchés. « Gagner plus d’argent quand on vend quelque chose sur le marché noir, cela peut paraître évident. Mais la question est de savoir comment nous pourrions faire pour que cela ne soit pas le cas sur le marché gris, qui est un marché très complexe, au sein duquel les États rentrent en jeu, parfois pour de bonnes raisons et parfois pour de mauvaises », complète Laurent Bernard.

Une solution grâce aux institutions européennes ?

Faut-il voir dans les institutions européennes une solution à cette situation complexe : « Je suis persuadé que les institutions européennes sont la clé de cette équation. Nous pourrions imaginer un organisme européen qui serait récipiendaire des vulnérabilités et qui les gérerait le plus éthiquement possible. La solution est selon moi de prendre le problème sous l’angle de l’État de droit. J’appelle de mes vœux que la Commission européenne se saisisse du sujet parce que les États ont leurs failles. Quand il s’agit de vulnérabilités, ils se cachent toujours derrière la sécurité nationale », répond Guilhem Giraud, expert en technologies de sécurité intérieure.

Un espoir que ne partage pas Jérôme Barbier, responsable des questions spatiales, numériques et économiques au Forum de Paris sur la Paix, qui rappelle le fait suivant : « Début décembre, le Cyber Resilience Act a fait l’objet d’un accord de principe entre le Parlement européen et le Conseil. La question d’une plateforme à laquelle auraient accès l’ensemble des agences nationales, et qui pourrait répertorier l’ensemble des vulnérabilités, a fait l’objet d’un très grand débat et suscité l’opposition, pour une fois unanime, du secteur privé et des États membres, dont la France, pour des raisons de sécurité. »

Un flou juridique en fonction des interlocuteurs

Malgré tout, les choses sont en train de changer au niveau européen, selon Noémie Véron, maître de conférences en droit public à l’Université de Lille. « Depuis 2019, le Règlement relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, oblige certaines grandes entreprises, comme les OIV (opérateurs d’importance vitale), à répertorier certaines failles et vulnérabilités », note-t-elle.

Mais un flou juridique subsiste pour les chercheurs de vulnérabilités : « En fonction de la structure à laquelle vous faites remonter la faille, la protection n’est pas la même. Si vous la remontez à l’Anssi, celle-ci ne pourra pas saisir le procureur de la République. Mais si le chercheur en vulnérabilités reporte la faille à l’exploitant du logiciel, ce dernier pourra potentiellement décider d’engager des poursuites pénales contre lui », poursuit Noémie Véron.

Face à la croissance des vulnérabilités informatiques, une coordination européenne s’impose pour établir des pratiques éthiques homogènes et protéger les chercheurs en cybersécurité. Seule une approche unifiée garantira une meilleure sécurité globale et une juste rémunération des contributions dans le domaine de la cybersécurité.