Et si… le monde coopérait véritablement afin de réparer les vulnérabilités de type « jour zéro » et nous mettait tous en sécurité dans le même temps ?

Sauver le monde, une vulnérabilité « jour zéro » à la fois

2019 et 2020 furent des années douloureuses – les cyber-attaques dévastatrices (plusieurs utilisant des vulnérabilités de type « jour zéro ») étaient devenues monnaie courante. En dépit de réunions sans fin, ayant pour but de rebâtir la confiance perdue, les Etats étaient en incapacité totale de se mettre d’accord sur une norme quant à la gestion et le stockage d’erreurs de type « jour zéro ». Après toutes ces discussions, le résultat restait un cercle vicieux : manque de confiance amenant encore plus d’accusations ; des résultats désastreux pour les utilisateurs finaux, d’où une confiance encore plus ébranlée, et ainsi de suite.

La clef à ce problème vint d’un endroit improbable. En février 2021, un groupe non-identifié créa un maillage finement distribué de répertoires sécurisés cryptographiquement, sous l’appellation collective BlackBox. Ils y téléchargèrent des centaines de fichier .txt décrivant les vulnérabilités de type « jour zéro ». Ils l’envoyèrent par courrier électronique aux directions générales et techniques des entreprises de logiciels et de matériel informatique concernées, avec des identifiants pour accéder à une vulnérabilité en particulier – le but étant de prouver la crédibilité de BlackBox. Le seul piège : si les entreprises souhaitaient avoir accès à plus de données, elles devaient faire preuve de bonne foi, et agir dans ce sens. Dévoilez ce que vous savez, les erreurs que vous n’avez pas corrigées, et vous en apprendrez un peu plus sur ce que BlackBoox sait : corrigez-en une, et vous aurez accès à la suivante, réparez-en une vous-même, et vous en gagnerez deux pour le prix d’une, et ainsi de suite. Le raisonnement de Blackbox étant que le fait de montrer les bugs n’avait jamais été suffisant pour assainir l’écosystème.

Au début, peu d’entreprises répondirent à l’appel, présumant qu’il s’agissait de spam, ou de chantage. Mais voyant qu’aucune demande de rançon ne leur parvenait, des chercheurs ont communiqué en off et commencèrent petit à petit à croire au bien-fondé de BlackBox. Le mot se répandit aussi auprès des conseils de sécurité des Etats qui virent – au milieu des bugs publiés – des vulnérabilités de type « jour zéro » qu’ils pensaient être les seuls à connaitre, et d’autres qu’ils n’avaient pas encore détectées. Bientôt, les entreprises et les agence d’états qui se trouvaient dans la boucle ne se contentaient plus de profiter des informations sur leurs failles, elles se mirent aussi à en publier.

Les universitaires se rendirent compte qu’en signalant des vulnérabilités « jour zéro » à BlackBox, la réparation arrivait plus vite, et ainsi, leurs travaux étaient publiés plus rapidement. En un an, beaucoup d’entreprises avaient assoupli leur politique sur le piratage pour la recherche, sur l’accord que Blackbox serait utilisé comme tiers de confiance. Le groupe BlackBox répondit en insérant une crypto-monnaie dans leur maillage, comme récompense pour des contributions émanant de tiers ainsi que des « preuves de première découverte ». En l’espace de deux ans, les failles, à l’échelle mondiale, étaient de moins en moins nombreuses et le taux des cyber-attaques avait baissé de 70 %.

Ces questions étudient la façon dans laquelle Internet pourrait évoluer. Mais le chemin que nous prenons dépend de nous.

Appartenant à