Apple vs FBI: quand le code est plus efficace que la loi
Cela fait six mois que Apple et le FBI se livrent une bataille fort médiatique qui, aux yeux du grand public, peut se résumer à la volonté du FBI de disposer d’une solution lui permettant de pirater l’iPhone d’un terroriste, et au refus d’Apple de fournir au FBI une telle solution, que la firme de Cupertino qualifie de “backdoor”. Mais le bruit médiatique cache des enjeux politiques essentiels ainsi qu’un aspect peu connu du business des technologies, celui du marché des failles de sécurité informatique, ces “solutions” qu’Apple refuse de livrer au FBI et qui permettraient à ce dernier de pénétrer digitalement la firme à la Pomme.
Pourtant, c’est l’adage “Code is Law” qui a prévalu une fois de plus, et la dure réalité technologique s’est imposée à Apple, ne lui offrant qu’une victoire juridique de facade, par abandon. Cellebrite, une société israélienne du secteur de la sécurité informatique, aurait vendu au FBI la faille de sécurité qui permettrait à ce dernier d’accéder aux contenus chiffrés de l’iPhone, l’amenant à mettre fin au bras de fer qui l’oppose à Apple – tout en préservant son tout nouveau positionnement marketing hype de Chevalier Blanc de la Privacy.
Un marché noir
La réalité de ce marché de la faille de sécurité s’impose de plus en plus au monde de la sécurité informatique, et, à travers le dénouement de l’affaire Apple vs. FBI, aux technologies en général. Car pour comprendre ce qu’il s’est passé dans les coulisses de cet affrontement, il faut plonger dans le monde où se vendent et s’achètent les failles de sécurité qui permettent de pénétrer les défenses d’une multitude de technologies, qu’il s’agisse des entrailles d’un iPhone ou des infrastructures d’un Etat ou d’une entreprise.
Le «marché noir» des failles de sécurité est sans conteste le plus inquiétant. Ici, n’importe qui peut se porter acquéreur d’une faille de sécurité et en faire ce que bon lui semble : espionage, sabotage, racket, intelligence économique ou surveillance. La clientèle est composée d’agences de renseignement – étatiques ou privées – issues de tous les pays, ainsi que d’organisations criminelles portées sur le cyber. Ce marché a tenté un temps de se professionnaliser, comme quand la startup Suisse
WabiSabiLabi s’est lancé en 2007, en proposant une plateforme à la eBay et en se posant comme intermédiaire dans ce commerce plus que douteux. Une tentative qui fera long feu, le fondateur, Roberto Preatoni, sera arrêté quelques mois plus tard dans une sombre affaire d’espionnage touchant Telecom Italia, et qui fit la Une de la presse italienne durant des mois. De nos jours, ce marché noir se déroule, à l’abri des regards, sur d’obscurs forums ou dans le fameux darknet.
Les négociations sur le marché gris
Mais ce n’est visiblement pas sur le marché noir que le FBI a trouvé la faille qui devrait lui permettre de déchiffrer l’iPhone, mais sur le marché gris. Un marché tout à fait légal, de plus en plus régulé, mais particulièrement discret. Au marché gris, les failles de sécurité se négocient en dizaines, voir en centaines de milliers d’euros. Les organisations criminelles en sont à priori exclus : seule des entreprises légitimes et les organisations étatiques ou para-étatiques peuvent y acheter et y vendre des failles de sécurité.
Reste que, légaux ou pas, ces marchés noir et gris font peser un réel danger sur nous, et compromettent la sécurité informatique des Etats, des entreprises comme des individus.
Pour contrebalancer cela, un marché blanc, transparent et strictement régulé, propose aux experts en sécurité informatique de leur acheter les failles qu’ils peuvent découvrir dans le seul but de les réparer et d’améliorer la sécurité de tous. On y trouve par exemple des concours richement dotés comme Pwnium, organisé par Google, ou la ZeroDayInitiative, soutenue depuis plus de dix ans par Hewlett Packard, et qui achète parfois très cher des failles de sécurité dans le but de les colmater.
Mais le marché blanc des failles de sécurité se tourne de plus en plus vers le Bug Bounty, un concept venu d’outre Atlantique, où Google a d’ailleurs récemment mis fin à son concours Pwnium afin de l’intégrer à son propre programme de Bug Bounty, dont les primes peuvent aller jusqu’à 100 000 dollars [full disclosure, l’auteur est associé dans Yogosha, une plateforme de Bug Bounty].
Sur ces places de marché, les entreprises fixent le prix et achètent les failles présentes sur leurs technologies aux hackers «whitehat» qui les découvrent, afin de les corriger. Le principe fait un carton aux USA depuis quelques années, où il est pratiqué par presque tous les grands du secteur des technologies… à l’exception d’Apple, qui paie très cher aujourd’hui le fait d’avoir négligé de contre-balancer le marché gris avec un Bug Bounty richement doté, comme l’a fait Google. En Europe, la mode du Bug Bounty commence à prendre : deux acteurs sont sur les rangs en France : Bounty Factory et Yogosha, qui vient d’intégrer la promotion Startup 2016 de Hewlett-Packard.
Mais en surface, au final, moins de trois ans après l’affaire Snowden, et après six mois d’un bras de fer médiatico-juridique, l’affaire Apple vs. FBI aura consacré la privacy comme un véritable positionnement marketing, pour Apple comme pour de plus en plus d’entreprises du secteur des technologies. Il y a beaucoup à dire sur la légitimité de telles entreprises à revendiquer ce positionnement et ces valeurs, mais il ne faut pas pour autant s’aveugler : ce trend du “pro-privacy” va aller en s’accélérant. La future directive européenne portant sur la cybersécurité va le renforcer considérablement : d’ici deux ans, date à laquelle cette directive entrera en application, toutes les entreprises du continent européen seront contraintes de se positionner ainsi. Il y a fort à parier que beaucoup en feront un positionnement marketing. Apple, comme toujours, n’est qu’un précurseur.
Fabrice Epelboin est serial entrepreneur dans le numérique, il enseigne l’impact des technologies de l’information sur les gouvernances institutionnelles et corporate à Sciences Po. Paris et conseille de grands groupes quant à leur transformation digitale.
Pour contacter la rédaction: redaction@frenchweb.fr
Pour plus d'informations sur nos abonnements, merci de nous contacter à abonnement@frenchweb.fr
Vous souhaitez contribuer régulièrement en tant qu'expert sur FRENCHWEB.FR, merci de nous contacter à redaction@frenchweb.fr
