Vupen, fournisseur de vulnérabilités pour la NSA

Le français Vupen, qui s’est fait une spécialité de la découverte de vulnérabilités, a bien vendu ses oeuvres à la NSA, comme le confirme un contrat rendu public par le gouvernement américain.

Le français Vupen, qui s’est fait une spécialité de la découverte de vulnérabilités, a bien vendu ses oeuvres à la NSA, comme le confirme un contrat rendu public par le gouvernement américain.

C’est un contrat signé de la main de Chaoukri Bekkar, PDG de Vupen, qui confirme ce que de nombreux experts suspectaient. L’entreprise française, basé à Montpellier, a bien loué ses services à l’agence américaine du renseignement extérieur, la NSA. Daté du 14 septembre 2012, ce contrat porte sur la fourniture de services «d’analyse binaire et d’exploits» pour une période de douze mois. Il n’apporte pas de détail supplémentaire, notamment sur le montant de la transaction.

Vupen fait partie des rares spécialistes de la découverte de failles. A des fins commerciales. Au printemps 2012, dans nos colonnes, nos confrères de CNIS relevaient la performance du français lors du challenge P0wn20wn. En un temps record, le groupe avait éparpillé façon puzzle les tripes de Google Chrome, avant de refuser de fournir sa recette, au moment de la remise des prix. Vupen avait alors indiqué «réfléchir aux modalités liées aux nécessités de remédiation éventuelle de ce genre de vulnérabilité, mais il est encore trop tôt pour fixer les étapes définitives.» Chaoukir Bekkar avait ensuite ajouté que «même contre un million de dollars, nous ne partagerons pas cette connaissance avec Google [...] Nous conserverons cette découverte pour nos propres clients.» Une réaction qui n’avait pas manqué, à l’époque, de faire coller quelques octets, Marcia Hofmann et Trevor Timm, de l’EFF, accusant Vupen (Marcia Hofmann et Trevor Timm) de vendre ses exploits aux pays membres de l’Otan, sont certains peu réputés pour leur vertu démocratique. Pour eux, un chercheur trouvant une faille ne devrait pas la vendre à quelqu’un d’autre qu’à l’éditeur concerné.

Mais encore faudrait-il que ceux-ci paient. Interrogé par Reuters en mai dernier, le patron de Vupen avait relevé que «nos coûts de recherche n’ont cessé de croître et nous avons renoncé à partager volontairement des informations avec des entreprises à plusieurs milliards de dollars.» Un an plus tôt, il avait assuré «ne vendre qu’aux démocraties» et «respecter les réglementations internationales.»

Un argument discutable. De fait, l’alinéa 1 du paragraphe 3 de l’article 323 du code pénal réprime «le fait, sans motif légitime, [...] de détenir, d’offrir, de céder ou de mettre à disposition [...] toute donnée conçue ou spécialement adaptée pour commettre une ou plusieurs infractions prévues par les articles 323-1 à 323-3», ceux-ci réprimant l’accès à un système informatique, ou l’entrave à son fonctionnement, notamment.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close