La lecture récente du mémoire d’un étudiant m’a fait me poser une question à laquelle je n’ai pas encore trouvé de réponse. Y a-t-il, dans la réalité, une réelle différence entre une porte dérobée (backdoor) et une faille d’exploitation immédiate (zero day) ?

source

Je précise.

Wiki explique qu’une porte dérobée est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel. Bien. Et une vulnérabilité zero day est une exploitation qui utilise une faille jusqu’ici méconnue du public.

Au-delà des confusions de vocabulaire vulnérabilité/faille/exploitation, est-il bien pertinent d’entretenir ainsi la différence, car dans les deux cas, nous sommes face à des failles inconnues du légitime utilisateur du logiciel. La différence peut donc être purement sémantique.

Sémantique, mais pas dénuée d’intérêt. Car si j’introduis des portes dérobées dans les produits que je vends (la confiance est une notion très relative en informatique et donc dans le cyber, comme l’explique Ken Thompson dans Reflections on Trusting Trust que vous pouvez consulter ici) j’ai tout intérêt à déclarer, lorsqu’elles sont découvertes, que ce sont des failles zero day.

Ainsi, quitte à passer pour un blaireau un court moment, l’honneur est sauf, et je peux continuer à vous infecter. Alors que si j’avoue que ce sont des portes dérobées, je quitte instantanément le côté des programmeurs étourdis ou surchargés de travail ce qui explique ma baisse d’attention, pour basculer dans le côté obscur de la force type NSA…