Vupen

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Vupen Security

Création 8 septembre 2004
Fondateurs Chaouki Bekrar
Forme juridique Incorporation
Siège social Drapeau des États-Unis Annapolis, Maryland (États-Unis)
Direction Chaouki Bekrar
Site web www.vupen.com

Vupen Security est une entreprise franco-américaine de sécurité informatique fondée en 2004 à Montpellier, et basée à Annapolis aux États-Unis. Son cœur de métier est la recherche de vulnérabilités dans les logiciels des principaux éditeurs mondiaux, afin de les revendre ensuite aux agences gouvernementales à des fins d'utilisations défensives ou offensives[1]. La société compte parmi sa clientèle l'agence américaine NSA[2] et l'agence allemande BSI[3].

Vupen a remporté en 2011, 2012, 2013 et 2014[4] le premier prix au concours de hacking Pwn2Own, en exploitant notamment en 2012 une faille de Google Chrome. Leur décision de ne pas révéler les détails de la vulnérabilité à Google mais de les vendre avait alors fait scandale[1],[5]. Au cours du Pwn2Own 2014, où les équipes de Vupen s'illustrent en obtenant 400 000 dollars de récompense[6], la société accepte de fournir à tous les éditeurs concernés, y compris Google, les détails techniques concernant les failles exploitées[7], permettant la publication de correctifs de sécurité.

En 2014, Vupen décide d'arrêter son activité française, motivée par la lourdeur des procédures administratives, mais aussi par les incertitudes juridiques qui pèsent sur son activité, menacée notamment par un amendement de l'arrangement de Wassenaar entré en vigueur le pour l'Europe[8]. Une première étape est l'ouverture fin 2013 d'un bureau à Annapolis, aux États-Unis, à 25 minutes du siège de la NSA de Fort Meade[9]. L'instance française de Vupen a été finalement dissoute le et liquidée définitivement le [10],[11].

Notes et références[modifier | modifier le code]

  1. a et b Yves Eudes, « Hackers d’État », Le Monde,‎ (lire en ligne)
  2. « Vupen, la PME française qui a travaillé pour la NSA », sur lemonde.lemonde.fr,‎ (consulté le 26 avril 2015)
  3. (de) « Vupen „Threat Protection“: Wir veröffentlichen den Vertrag, mit dem das BSI Sicherheitslücken und Exploits kauft », sur netzpolitik.org,‎ (consulté le 12 mai 2015)
  4. (fr) Le gagnant du concours de hacking Pwn2own est un Français, sur referencementgoogle.eu, consulté le 19 mars 2014.
  5. (en) Andy Greenberg, « Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees) », Forbes,‎ (lire en ligne)
  6. « IE11, Firefox, Flash et Reader craqués au Pwn2own 2014 », Le Monde Informatique,‎ (lire en ligne)
  7. (en) « Vupen Details Firefox Use-After-Free Vulnerability Exploited at Pwn2Own », Security Week,‎ (lire en ligne)
  8. (en) « Notice to Exporters 2014/31: EU Control List of dual-use items has been comprehensively updated », sur blogs.bis.gov.uk,‎ (consulté le 26 avril 2015)
  9. « Vupen ouvre un bureau aux Etats-Unis, mais affirme garder son siège en France. », sur pastresnet.blog.lemonde.fr,‎ (consulté le 26 avril 2015)
  10. « Actes déposés sur Infogreffe pour la société VUPEN SECURITY »
  11. « Vupen fuit Wassenaar à Fort Meade », sur www.intelligenceonline.fr,‎ (consulté le 26 avril 2015)