Comment des experts en cybersécurité de Google ont ruiné les efforts antiterroristes d'un Etat occidental

Des chercheurs du Project Zero et du Threat Analysis Group (TAG), deux équipes de Google spécialisées dans la détection des vulnérabilités informatiques, ont publiquement révélé l'existence d'une opération antiterroriste menée par un pays occidental allié des Etats-Unis. L'identité de l'Etat concerné reste confidentielle.

11 vulnérabilités détectées
Depuis plusieurs mois, les experts en cybersécurité de l'entreprise américaine publient régulièrement des billets de blog dans lesquels ils font état d'une campagne malveillante particulièrement sophistiquée ayant compromis des systèmes Windows, iOS et Android. Au total, ce sont 11 vulnérabilités "zero day", c'est-à-dire n'ayant jamais fait l'objet d'un correctif, qui ont été identifiées au fil de ces recherches.

Mais les auteurs de ces actes malveillants n'étaient pas des hackers à proprement parlé puisqu'il s'agissait en réalité d'agents d'un gouvernement occidental impliqués dans une opération antiterroriste, d'après le MIT Technology Review.

Ce n'est évidemment pas la première fois que cette situation arrive. En revanche, il est rare que les experts décident d'exposer les opérations concernées étant donné que cette révélation met fin à la mission en cours.

Une scission au sein de Google
D'ailleurs, la décision de publier ou non ces vulnérabilités a fait l'objet de vifs débats au sein de la firme de Mountain View. Les uns estimaient que les missions de lutte contre le terrorisme ne devaient pas être rendues publiques, les autres que cette révélation permettait au contraire de protéger les internautes et de rendre Internet plus sûr.

"Project Zero se consacre à la recherche et à la correction des vulnérabilités zero day, et à la publication de recherches conçues pour faire progresser la compréhension des nouvelles vulnérabilités de sécurité et des techniques d'exploitation", a déclaré un porte-parole de Google dans un communiqué. "Nous pensons que le partage de ces travaux conduit à de meilleures stratégies défensives et augmente la sécurité de tous", a-t-il ajouté.

La décision a finalement été prise de publier les travaux. Impossible à l'heure actuelle de savoir si le gouvernement en question a été préalablement prévenu de cette publication qui de facto mettait fin à son opération antiterroriste, d'après le MIT Technology Review. Ce qui a fait pencher la balance c'est le risque que les failles détectées soient exploitées par des acteurs malveillants. En effet, les équipes de sécurité de Google ont une responsabilité envers les clients qui s'attendent légitimement à bénéficier de services fiables et robustes.

Le Vulnerabilities Equities Process
Pour trouver un juste équilibre, les Etats-Unis ont élaboré une doctrine baptisée "Vulnerabilities Equities Process" (VEP). Elle a été rendue publique en novembre 2017 à la suite de l'affaire des Shadow Brokers, un groupe de hackers qui avait volé puis diffusé des outils de piratage de la National Security Agency (NSA). Ainsi, la décision de publier ou non une vulnérabilité "zero day" est prise collégialement par l'Equities Review Board composé par des membres issus des principales agences américaines.

Le spécialiste en cybersécurité russe Kaspersky s'était retrouvé dans une situation similaire. En 2018, il avait révélé une opération de cybersurveillance américaine contre des membres de l'Etat islamique et d'Al-Qaïda au Moyen-Orient. Washington avait condamné cette décision qui, en plus d'avoir mis fin à une opération d'ampleur, avait mis en danger des militaires sur le terrain. Accusée d'espionnage pour le compte du Kremlin, l'entreprise avait finalement été bannie des systèmes des agences gouvernementales américaines.

Sélectionné pour vous

Une faille de sécurité a permis de modifier les résultats de recherche sur Bing

Airbus renonce à entrer au capital d'Evidian, la branche cyber qui va se scinder d'Atos

Google identifie deux nouvelles campagnes d'espionnage visant Android et iOS