La NSA communique sur ses 0Days

Posted On 12 Nov 2015

Le monde change, après la CIA, c’est au tour de la National Security Agency de communiquer. Les espions de l’Oncle Sam reviennent sur l’utilisation des 0Days qu’ils possèdent. Sur 100, il n’en garderait que 9.

Après plusieurs affaires traitant de l’espionnage informatique, la NSA, les services de renseignements américains, ont décidé de communiquer sur les 0Day qu’ils possèdent. Pour rappel, un 0Day est une faille informatique qui n’est pas publique, qui n’est donc pas connue, qui n’est donc pas corrigée. Un bien précieux qui se vend très cher. Des sociétés comme feu K-Otik-FrIRST-VUPEN baptisée, aujourd’hui Zerodium, ou encore Endgame, Netragard, 0Day Today… en font un commerce qu’ils indiquent comme rentable. Par exemple, ZATAZ a pu constater que la faille visant vBulletin 5.x.x était commercialisée, il y a encore peu, 5300 dollars; que le moyen de transformer un fichier malveillant (.exe) en version PowerPoint, était vendu 3000 dollars.

La NSA a été fortement critiquée depuis les fuites de Snowden. De nombreuses questions ont été posées au gouvernement des États-Unis sur les activités de l’agence et sur sa politique de divulgation des « bugs » que la NSA pouvait découvrir. Le coordinateur de la cybersécurité du président Barack Obama, Michael Daniel, a indiqué que la NSA avait changé sa communication en relation avec le programme de divulgation des failles de sécurité. Juste après cette déclaration, l’Electronic Frontier Foundation a poursuivi le gouvernement des États-Unis pour en savoir plus. Dans un document édité sur le site officiel de la NSA, on y apprend que 91% des 0days de la NSA sont communiquées aux entreprises. 9% de ces failles sont gardées par la NSA pour être exploitées.

« Le Conseil national de sécurité a établi un processus inter organisations afin de considérer la diffusion, ou non, d’une vulnérabilité, a pu lire ZATAZ dans le document de la NSA. Ce processus exige du gouvernement une réflexion liée à de nombreux facteurs, y compris l’importance de l’information pour la sécurité de la nation. Bien que ces décisions peuvent être très complexes, la partialité du gouvernement est de divulguer de façon responsable et discrètement les vulnérabilités découvertes« .

Pour rappel, la NSA indique que la cybersécurité doit être un atout pour les Etats-Unis, et un problème pour ses adversaires.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.