Le Bundesnachrichtendienst (BND), service de renseignement de la Confédération de l’Allemagne, a demandé au Comité de Surveillance Parlementaire l’octroi de fonds pour acheter sur le marché du Dark Net des vulnérabilités de logiciels du type Zéro Day ou failles qui ne sont connues par personne. L’objectif est d’organiser des cyber attaques ciblées exploitant ces vulnérabilités en créant un POC (Proof Of Concept) prouvant ainsi leur capacité à les mettre à profit. Cette exploitation consiste en l’exécution d’un code sur la machine victime.
Cette information est importante dans le sens où le Bundesnachrichtendienst (BND) cherche à acquérir des bugs pour les utiliser et non pas à partager l’informations avec les développeurs de logiciels et le public alors que la semaine dernière l’Union européenne et l’Europol lançaient un appel pour une plus grande coopération international dans ce domaine.
La coopération internationale reste un mot vain.
Selon un rapport confidentiel vu par les journalistes, l’agence demande un total de € 300 millions pour le financement de son Initiative Stratégique Technique (SIT) dans les 5 prochaines années (€28 millions en 2015).
Le programme de SIT a été créé pour, entre autres choses, trouver des failles de sécurité dans les protocoles SSL et HTTPS, qui sont utilisés par les banques et les sites de commerce électronique pour sécuriser les transactions, mais aussi les réseaux sociaux et autres services en ligne.
Le BND cherche également à mettre en place un système d’alerte précoce contre les cyber attaques et un honeypot ainsi que d’embaucher plus de professionnels de l’informatique.
Enfin, ils veulent mettre en place un système de surveillance de l’activité sur les réseaux sociaux en temps réel pour obtenir une image plus précise de la situation à l’étranger. La surveillance serait « limitée aux données des utilisateurs non-allemands ».
Ces révélations ont suscité des critiques de diverses parties : «L’acquisition et la vente de vulnérabilités proposées par le BND seraient juridiquement contestables non seulement de plusieurs façons, mais aussi à cause du préjudice direct et délibéré à l’économie allemande » selon Dirk Engling, porte-parole du Chaos Computer Club (CCC).
Selon le CCC « La soif du BND pour des vulnérabilités exploitables est une atteinte grave aux droits fondamentaux. Les utilisateurs seront incapables de se défendre non seulement contre l’espionnage, mais aussi contre les cyber-escrocs qui vont profiter de ces vulnérabilités dont le gouvernement allemand est au courant, mais choisit de ne pas les divulguer publiquement ».
Il a souligné que les fonds demandés pour ces vulnérabilités appartiennent aux contribuables, et qu’il vaut mieux les dépenser pour les audits de logiciel.
Stefan Körner, Président du Parti Pirate allemand, a noté que «si cela constitue la stratégie du gouvernement allemand pour notre sécurité, nous devrions le craindre ainsi que ses agences de renseignement plus que les cyber terroristes ».


