Le 21ème siècle a connu l’avènement des PaaS et des Saas, respectivement Product as a Service et Software as a Service (Produit et Logiciel en tant que service), des modèles économiques prospères et en plein essor. Dans la même veine, des firmes d’intrusion à la demande (AaaS, Access as a service) créent et vendent des services d’offensives cybernétiques à des acteurs étatiques. Un éclairage sur une manne financière géante et une industrie naissante faiblement régulée.

NSA as a service

Imaginez la NSA, la puissante et célèbre agence de renseignement américaine avec toute sa capacité d’écoute clandestine et d’infiltration. Imaginez ensuite, que tout Etat peut s’offrir cette capacité sans pour autant dédier des budgets aussi faramineux que les agences de renseignements américaines. C’est le modèle économique de la NSO, une entreprise fabriquant des logiciels espions et opérant à travers un réseau tentaculaire d’entreprises à travers le monde.

Un modèle économique à la carte

A travers un logiciel tristement célèbre portant le nom de Pégasus, la NSO permet à des gouvernements d’espionner à la demande suivant un modèle tarifaire à la carte : pour espionner quelque 180 personnes, le Ghana a payé la facture salée de 4 millions de dollars.

La firme israélienne vend son logiciel espion à tous les Etats, indistinctement de la nature de leurs régimes politiques, soulevant de vives inquiétudes de violations des droits de l’homme par de nombreux experts et observateurs internationaux.

Le marché juteux des vulnérabilités

Un nombre croissant d’entreprises font office de courtiers des vulnérabilités (en anglais Vulnerabilty Brokers) : elles font appels à des hackers à chapeau noir ou à chapeau gris en vue de leur acheter des informations sur des failles exploitables et généralement inconnues du grand public. Ces courtiers œuvrent en suite à vendre ces informations (et comment y remédier) à de grandes entreprises du numérique et des fournisseurs de services.

Une solution technologique d’espionnage de pointe ne peut être réalisée sans la participation de courtiers ou des hackers qui découvrent les vulnérabilités à exploiter. Il est grand temps que ce secteur connaisse plus d’efforts de régularisation, bien que les fournisseurs et les clients de ces logiciels espions préfèrent les garder sous silence.