Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 43

magazine

E

n 2015, le marché des ventes
de failles zéro day a marqué
un tournant avec l'offre d'une
prime d'un million de dollars
pour la détection et la communication
d'une faille de IOS 9 par la plateforme
Zerodium, qui achète les vulnérabilités
pour les revendre au meilleur prix, dans
une démarche aux limites de l'éthique.
Parallèlement, le gouvernement américain a jeté un pavé dans la marre de la
cybersécurité en annonçant son intention d'introduire les codes O-Day dans
la liste des produits à double usage
dont l'exportation devra être soumise
à licence gouvernementale. Symantec,
Cisco, Google et autres sociétés technologiques sont vent debout invoquant une
entrave à la collaboration transfrontière
en matière de sécurité informatique.
Une opportunité pour l'éclosion d'un
marché européen dont la législation ne
vise pas les failles de sécurité dans la
fameuse liste ?
Une faille 0-Day est une vulnérabilité
logicielle nouvellement découverte qui
n'a pas encore fait l'objet d'une publication et pour laquelle il n'existe pas de
correctif. Elle peut ainsi être exploitée
pour lancer une attaque quasi imparable. Ce type de failles intéresse particulièrement les créateurs des logiciels
concernés, les cyberdélinquants mais
aussi les agences gouvernementales
pour la surveillance dans le cadre de
la lutte anti-terrorisme, mais pas seulement. Le ver Stuxnet qui a attaqué les
systèmes nucléaires iraniens en 2010
comportait quatre vulnérabilités 0-Day.
Autre exemple, deux chercheurs en
sécurité ont pris le contrôle à distance
d'une voiture autonome en exploitant les
failles 0-day de systèmes embarqués.
Avec l'explosion du numérique, de
l'internet et des objets connectés, le
risque de failles est démultiplié. D'où
l'intérêt vital de les détecter. Mais qui
dit rareté, dit valeur économique. Un
marché bien discret de plateformes
d'achat/vente de failles de sécurité se
développe. Ainsi se professionnalisent
aussi les programmes de Bug Bounty
qui consistent à demander à une
communauté d'experts, d'hackers et
de passionnés d'analyser des applications, des systèmes d'exploitation ou de
sites web afin d'en détecter les failles et
de les livrer contre reconnaissance ou
rémunération d'une prime. Des grands

Cybersécurité

Le business du 0-Day
dans la tourmente
Et si le projet américain d'imposer une licence
d'exportation à chaque signalement de failles de
sécurité était une opportunité pour les acteurs
européens ?
acteurs tels que Google ou Paypal organisent de tels programmes pour leurs
propres besoins.
Des plateformes en font par ailleurs un
business très lucratif. Le but n'est pas
de publier les failles de sécurité ou de
prévenir l'éditeur pour qu'il les corrige,
mais de les vendre. Suivant leur rareté et l'application, les prix sont très
variables : 500 $ pour une petite application, 100 000 $ pour Flash, 200 000 $ pour
Android. Zerodium, créée par le fondateur du français Vupen, a proposé une
prime d'un million de dollars pour une
vulnérabilité trouvée sur iOS 9.1/9.2b.
Elle aurait versé cette somme à un
groupe d'hackers en novembre dernier.
Zerodium peut ensuite la revendre aux
plus offrants : un travail de grossiste en
failles de sécurité, avec une tarification
claire et des primes très élevées pour des
demandes très précises.
Face à ce marché aussi trouble qu'utile,
les Etats-Unis veulent contrôler l'exportation de ces failles. Si les découvertes
de vulnérabilité peuvent être exploitées pour le bien commun, elles le sont
aussi par des Etats dictatoriaux ou des
entreprises mafieuses. C'est pourquoi,
les Etats-Unis veulent soumettre à l'obtention d'une licence l'exportation de
cette technologie à double usage potentiel, dans le cadre de l'Arrangement
de Wassenaar.
Cet Arrangement est un accord non
contraignant entre 41 Etats en vue du
contrôle des exportations pour armes
conventionnelles, équipements et technologies à usage à la fois civil et militaire. Les Etats signataires mettent
régulièrement à jour la liste des produits
concernés, charge à eux de la transposer dans leur droit national. Le
4 décembre 2013, les outils pour l'intrusion dans des systèmes informatiques
ou pour la surveillance y ont été ajoutés

EXPERTISES FÉVRIER 2016

en réponse aux exportations d'outils de
surveillance vers des dictatures telles
que la Lybie ou le Turkménistan. Et la
société civile s'en est félicitée.
En vue de cette transposition, le Bureau
of Industry and Security du département
du Commerce américain, interprétant ce
texte de manière extensive, a annoncé,
le 20 mai 2015, sa volonté d'inclure tout
logiciel susceptible de contribuer à développer des exploits 0-Day. Cette proposition soumise à commentaires a suscité
l'inquiétude des acteurs concernés. Pour
Cisco, cela risquerait d'avoir des conséquences négatives sur la recherche en
matière de cybersécurité. Google craint
une réactivité moindre en raison des
milliers de demandes de licences pour
signaler une faille afin qu'elle soit corrigée. Quant à Symantec, elle estime que
ce projet menace la capacité d'innover
et de développer des produits de cybersécurité, de conduire en temps réel des
recherches et des échanges d'informations sur les vulnérabilités logicielles, de
tester et de sécuriser les réseaux et les
technologies. Il évoque aussi le risque
de délocalisation de telles activités vers
des pays plus ouverts.
La Commission européenne ne partage
pas la même vision que les Etats-Unis.
L'Union européenne a mis à jour sa liste,
sans toutefois inclure les vulnérabilités
et autres failles 0-Day, dans l'annexe au
règlement 428/2009 publiée le 22/10/2010
au JOUE. Si les opérateurs européens
n'ont pas à demander une telle licence,
encore faudrait-il que ce marché se développe dans un cadre légal permettant
la vente licite de failles de sécurité. Des
acteurs européens sont prêts à se lancer.
Une première plateforme européenne
pour les programmes de recherches de
vulnérabilités vient d'être lancée.
Sylvie ROZENFELD

43



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410

Couverture
Sommaire
MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
DOCTRINE
DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
JURISPRUDENCE
BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - MAGAZINE - CYBERSÉCURITÉ : LE BUSINESS DU 0-DAY DANS LA TOURMENTE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 44
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 45
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 46
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 47
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 48
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 49
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 50
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 51
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 52
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 53
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - INTERVIEW - JEAN-RAYMOND LEMAIRE : L’EXPERTISE AU XXIEME SIECLE, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 55
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 56
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 57
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 58
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - DONNÉES PERSONNELLES : LE NOUVEAU RÈGLEMENT EUROPÉEN EN DIX POINTS, Par Marc LEMPÉRIÈRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 60
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 61
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 62
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 63
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VIDÉOSURVEILLANCE : UN CADRE STRICT À RESPECTER, Par Matthieu BOURGEOIS & Amira BOUNEDJOUM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 65
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - OPEN DATA : OUVERTURE DES DONNÉES DE SANTÉ, Par Thomas ROCHE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 67
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 68
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - BUZZEE FRANCE / FREE : Tribunal de commerce de Paris, ordonnance de référé du 20 janvier 2016
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 70
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - LOC CAR DREAM : Conseil d’État, 10ème / 9ème SSR, décision du 18 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 72
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - VENTE-PRIVEE.COM / M. J-J. N., JKC FINANCE : TGI de Nanterre, pôle civil, 1ère chambre, jugement du 3 décembre 2015
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 74
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 75
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 76
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 77
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 78
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 79
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2016 - n°410 - 80
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com