C’est en fait Reuters qui l’affirme, le gouvernement américain serait actuellement très présent sur le marché « gris » de la sécurité informatique, en rachetant en masse aux hackers leurs découvertes de failles de sécurité ou les codes permettant de les exploiter. Afin bien sûr que ceux-ci ne soient pas communiqués.

Et ce au détriment des éditeurs qui habituellement collectent ce genre d’information afin de corriger les problèmes découverts et de publier ces correctifs.

Ce qui bien entendu inquiète la communauté des chercheurs dans le domaine de la sécurité, qui fort légitimement craint que cette initiative ne bouleverse le fragile équilibre entre les « bons » (White Hat) et les « méchants » (), la tentation pour les chercheurs découvrant des failles étant grande de ne plus les rendre publiques, ce qui augmenterait les risques d’attaques de type « zero-day » qui sont la hantise de tout responsable de la sécurité informatique.

Quelques remarques cependant concernant cette annonce de Reuters :

  • Tout d’abord il est étonnant qu’une agence de presse soit informée de pratiques qui si elles sont avérées pourraient effectivement se révéler extrêmement préjudiciables pour l’ensemble de l’industrie du logiciel.
  • Ensuite il est fort probable que la révélation de ce type d’information incite d’autres pays à se lancer à leur tour dans ce type de pratiques, ce qui ne ferait qu’amplifier le phénomène. Mais on peut imaginer que certains pays n’ont pas attendu l’article de Reuters pour envisager la chose.
  • Enfin il est assez troublant de mettre en parallèle cette information avec les constats concernant l’évolution des menaces informatiques, sujet que nous traitons lors du Briefing Calipia de Juin 2013, et qui montre un accroissement des actes d’espionnage et des opérations de déstabilisation géopolitiques.

Donc nous vous donnons rendez-vous en Juin pour creuser ces aspects de gestion des risques et d’évolutions de la cybercriminalité lors du Briefing Calipia # 16.