Pour comprendre un peu mieux cette histoire, il faut remonter quelques dix mois en arrière. En janvier 2007, quand quatre italiens se font arrêter pour piratage et écoutes illicites. Point commun ? Telecom Italia, entreprise dans laquelle ils ont tous exercé au sein d'une équipe sobrement appelée Tiger Team dirigée par Fabio Ghioni. Grosso modo, ils auraient profité de leurs accès pour pirater quelques machines et placer des écoutes illégales dans ce qui ressemble pas mal à une histoire d'espionnage industriel qui mêle industriels, patrons de presse, politiques et même services secrets.

Et c'est à cette histoire qui a forcément pris des dimensions médiatiques et politiques énormes que Roberto Preatoni se retrouve aujourd'hui mêlé, de part ses liens avec Fabio Ghioni, avec lequel il avait fait une présentation à HITB en 2006, et son équipe. Évidemment, je vous sors ça comme j'en ai entendu parler, soit sur le web, soit via des connaissances sur place. En tout cas, l'affaire semble des plus tordues, très à la hauteur de ce qu'on a connu dans l'hexagone avec l'affaire Clearstream. Bref, personne ne lui envie cette publicité soudaine.


Pour en revenir à Roberto, et aux à la vente de failles, il se trouve qu'il était à Jakarta pour Bellua[1]. J'ai donc pu lui serrer la paluche et partager quelques bières. Puis-je affirmer pour autant que cela me permet d'avoir un avis sur l'affaire sus-citée ? Certainement pas, même si j'ai trouvé le personnage fort intéressant, sympathique pour ne rien gâcher, et que ça me fait de la peine pour lui. Par contre, dans la mesure où sa présentation[2] parlait justement de Wabisabilabi, avec des arguments qu'on retrouve pour la plupart dans le blog de la société. J'ai donc pu conforter mon opinion sur la question. Je ne suis clairement pas pour ce genre de pratiques. Et ce n'est pas le casier judiciaire des fondateurs de ce site qui serait susceptible d'influencer mon jugement, dans un sens comme dans l'autre.

Car plus loin que la question de confiance soulèvée chez Matasano, je ne suis pas du tout à l'aise avec l'idée de vente de failles au plus offrant. Je goûtais déjà modérément le concept de marché de la faille tel qu'entretenu par iDefense ou ZDI. Je parvenais cependant à trouver quelque sens à l'argument qui voudrait qu'en rémunérant les découvreurs de failles, on les incite à rester du côté clair de la force. Pourquoi pas...

Mais j'avoue que ça n'atteignait pas le cynisme de la vente aux enchères, à laquelle j'ai du mal à trouver le moindre sens. C'est pourquoi je ne crois pas que vendre des failles au plus offrant rendra l'informatique plus sûre, ce qui est précisément le but annoncé : Closer to zero risk. J'ai en particulier du mal à croire à la maîtrise de ce genre de marché dans lequel on ne sert que d'intermédiaire, et son détournement à des fins répréhensibles. Si on reprend le parallèle avec eBay, on sait pertinemment, et malgré tous les efforts déployés, que ce site de vente aux enchères connait son lot d'arnaques et d'escroqueries. Certains font même mention de trafics en tout genre, en tête desquels vient celui des identifiants, et même de blanchiment d'argent... Pourquoi en irait-il autrement de Wabisabilabi ? D'autant que ce qu'on y achète est de la matière première de choix pour alimenter une criminalité déjà bien rompue aux identités factices et autres compte bancaires fantômes. Techniques qui permettront à pleins de gens bien intentionnés d'accéder simplement à ce marché.

Notes

[1] Oui, oui, le compte-rendu arrive...

[2] Intitulée WabiSabiLabi, The Exploit Marketplace.