Basée à Montpellier, la société VUPEN a brillé dans quelques concours de hacking comme le Pwn2Own pour débusquer et exploiter avec succès des vulnérabilités de sécurité. Elle a également fait jaser en refusant de divulguer à Google les détails d'une vulnérabilité affectant Chrome.

NSA En dépit des primes mises en jeu par Google, les hackers de VUPEN ont préféré garder leurs secrets pour les revendre à leurs clients. Et parmi ces clients, il peut y avoir des noms comme la National Security Agency.

L'agence de renseignement américaine a manifestement été sensible au savoir-faire de VUPEN. Le site MuckRock publie en effet un document obtenu après une demande FOIA ( Freedom of Information Act ; loi pour la liberté d'information ). Il montre que le 14 septembre 2012, la NSA a loué les services de VUPEN pendant un an.

Le contrat porte sur le service Binary Analysis and Exploits qui est défini sur le site de VUPEN comme " une analyse profonde des binaires des vulnérabilités publiques les plus importantes basée sur le désassemblage, le reverse engineering, l'analyse de protocole et l'audit de code ".

Via ce service, VUPEN fournit chaque mois l'analyse de 15 à 20 vulnérabilités et de manière privée des exploits ou preuves de concept. Il est fait mention d'exploits 1-day ( par opposition à 0-day ), ce qui signifie que le succès d'une attaque est plus aléatoire dans la mesure où la cible peut avoir corrigé la faille.

Reste que l'on sait que des agences gouvernementales achètent également des exploits 0-day ou des techniques avec par exemple l'intention d'infiltrer les systèmes informatiques de suspects ou pour de l'espionnage.

Par le passé, le PDG de VUPEN, Chaouki Bekrar, a affirmé ne vendre qu'à des démocraties et pays de confiance, et donc pas à des régimes oppressifs. Le but officiellement affiché est de permettre d'évaluer des risques et protéger des infrastructures contre des cyberattaques et menaces.

Avec les récentes révélations sur la surveillance massive de la NSA, sa collaboration avec VUPEN interroge forcément.

Pour Threatpost, il existe bien d'autres sociétés moins visibles que VUPEN qui vendent des exploits et détails sur des vulnérabilités. Le blog de Kaspersky Labs écrit par ailleurs :

" La NSA dispose de sa propre équipe de chercheurs en sécurité et ingénieurs pour des vulnérabilités et exploits, mais la publication du contrat entre la NSA et VUPEN montre que l'agence fait aussi des affaires avec des marchands 0-day externes. "

Source : Numerama