Vidéo: Faux malades, faux chômeurs, fausses victimes... vrais escrocs - REPORTAGE (Novembre 2024)
Lorsqu'un cambrioleur jette une brique par la fenêtre d'un bijoutier et s'en va avec son stock, ses gains sont nettement inférieurs à ceux du bijoutier. Le voleur devra clôturer les objets en dessous de leur valeur réelle, car ils sont "chauds". Le bijoutier a non seulement perdu la valeur de la marchandise, mais il doit payer pour une nouvelle fenêtre. De même, un cyber-escroc qui vole un million de numéros de cartes de crédit pourrait les vendre pour quelques milliers de dollars; notifier un million de clients et les installer avec de nouvelles cartes coûtera beaucoup plus cher à leur émetteur.
Cette disparité a suscité une idée pour Stefan Frei, vice-président de la recherche chez NSS Labs. La plupart des cyber-attaques s'attaquent à la sécurité de l'entreprise victime en exploitant un type de vulnérabilité du système d'exploitation ou un autre logiciel. Et si nous pouvions enlever cet outil aux escrocs? Dans un document de recherche détaillé, Frei et son collègue analyste, Francisco Artes, expriment l’idée audacieuse de créer un programme international d’achat de la vulnérabilité (IVPP) qui paierait davantage pour les vulnérabilités que les escrocs ne peuvent se permettre.
Courir les chiffres
Différents experts proposent différentes estimations des pertes financières dues à la cybercriminalité dans le monde, mais elles se situent entre des dizaines de milliards et des centaines de milliards. Frei a publié les chiffres sur les vulnérabilités publiées en 2012 et a constaté que le coût d'achat de 150 000 dollars pour chacun d'eux aurait été considérablement inférieur au montant des dommages financiers qu'ils ont causés.
Premièrement, examinons le coût le plus élevé et le rendement le plus faible. Supposons que l'IVPP paye 150 000 USD pour chaque vulnérabilité, indépendamment de la gravité ou de la prévalence du logiciel impliqué, et évite ainsi 10 milliards de pertes financières. Le coût d'achat représente un peu moins de 8% des pertes dans le pire des scénarios.
Cependant, un tiers des vulnérabilités exploitées ont été découvertes dans les programmes par les dix principaux fournisseurs. En ne payant que pour ceux-ci et en acceptant une estimation de 100 milliards de dollars pour les pertes, le coût diminue à 0, 3% de la valeur perdue. Une échelle de paiement progressive basée sur la gravité réduirait également les coûts. À titre de comparaison, le rapport note que les entreprises de vente au détail aux États-Unis s'attendent à perdre 1, 5 à 2, 0% de leurs ventes annuelles au vol ou au "rétrécissement des stocks".
Le rapport a également révélé que le coût d'achat de toutes les vulnérabilités en 2012 aurait représenté environ 0, 005% du PIB américain ou du PIB de l'Union européenne et moins de 0, 3% des recettes totales de l'industrie du logiciel.
Les trous de sécurité sont là pour rester
Une partie du document passe en revue la situation actuelle en ce qui concerne les vulnérabilités logicielles. En termes simples, même s'il était possible d'écrire un logiciel sans défaut, ce ne serait pas rentable. Le coût élevé d’une violation de données incombe à la société concernée, et non au fournisseur du logiciel défectueux. En termes commerciaux, ce coût est une "externalité négative" pour le fournisseur de logiciels, et "les entreprises à but lucratif n'investissent pas dans l'élimination des externalités négatives".
Il est concevable que les utilisateurs pourraient forcer le problème en refusant d'acheter des logiciels auprès de fournisseurs de logiciels contenant des failles de sécurité. En pratique cependant, les vulnérabilités sont la norme. Nous nous attendons tous à eux et ils ne partiront pas. Le rapport note qu '"il n'y a aucune responsabilité légale pour la qualité des logiciels, et cela ne devrait pas changer de si tôt."
Le chercheur qui découvre un nouveau trou de sécurité peut le soumettre discrètement au vendeur, l’annoncer publiquement ou le vendre au plus offrant. Une étude antérieure de NSS Labs a révélé une activité de revente florissante pour les exploits du marché noir. Le rapport note que la situation serait bien pire sans le fait que de nombreux chercheurs en sécurité s'abstiennent altruistement de vendre au marché noir.
Les escrocs ne peuvent pas rivaliser
Dans un monde de l'offre et de la demande, vous pourriez penser que les escrocs rivaliseraient avec les bons, en offrant davantage pour de toutes nouvelles vulnérabilités. Le rapport souligne que la même disparité entre petit gain pour les escrocs et grosse perte pour les victimes signifie que les escrocs ne peuvent tout simplement pas rivaliser. Ils ne peuvent pas offrir plus que le revenu maximum prévu, alors qu'un IVPP pourrait en payer beaucoup plus pour éviter des pertes colossales.
En fait, la récompense substantielle pour les failles de sécurité récemment découvertes conduirait probablement à davantage de découvertes. Un chercheur dont la seule récompense potentielle est une tape dans le dos, un t-shirt ou quelques centaines de dollars n’est tout simplement pas aussi motivé. Saisir la bague en laiton vous rapporte 150 000 $, c'est une autre histoire.
De grands projets
Le rapport complet propose une proposition détaillée sur le fonctionnement d’un programme international d’achat de la vulnérabilité. Il couvre tout, de qui paierait, à la manière dont les rapports seraient produits, à la structure organisationnelle complète, etc.
Est-ce que ça va arriver? Cela reste à voir. Mais ce rapport très bien pensé me convainc que cela pourrait vraiment marcher.
