Vupen
Vupen Security | |
Création | 8 septembre 2004 |
---|---|
Disparition | 30/12/2014 dissolution |
Forme juridique | SA à conseil d'administration |
Siège social | Montpellier France |
Activité | Programmation informatique APE 6201Z |
Société mère | Vupen USA |
SIREN | 478502123 |
Site web | www.vupen.com |
Chiffre d'affaires | 2 917 900 € en 2014 |
Résultat net | 1 282 600 € en 2014 |
modifier - modifier le code - voir Wikidata |
Vupen Security est une entreprise française de sécurité informatique fondée en 2004 à Montpellier, et implantée également à Annapolis aux États-Unis. Son cœur de métier est la recherche de vulnérabilités dans les logiciels des principaux éditeurs mondiaux, afin de les revendre ensuite aux agences gouvernementales à des fins d'utilisations défensives ou offensives[1]. La société compte parmi sa clientèle l'agence américaine NSA[2] et l'agence allemande BSI[3].
Vupen Security a remporté en 2011, 2012, 2013 et 2014[4] le premier prix au concours de hacking Pwn2Own, en exploitant notamment en 2012 une faille de Google Chrome. Leur décision de ne pas révéler les détails de la vulnérabilité à Google mais de les vendre avait alors fait scandale[1],[5]. Au cours du Pwn2Own 2014, où les équipes de Vupen Security s'illustrent en obtenant 400 000 dollars de récompense[6], la société accepte de fournir à tous les éditeurs concernés, y compris Google, les détails techniques concernant les failles exploitées[7], permettant la publication de correctifs de sécurité.
En 2014, Vupen Security décide d'arrêter son activité, motivée par la lourdeur des procédures administratives, mais aussi par les incertitudes juridiques qui pèsent sur son activité, menacée notamment par un amendement de l'arrangement de Wassenaar entré en vigueur le pour l'Europe[8]. L'entreprise a ouvert, fin 2013, un bureau à Annapolis, aux États-Unis, à 25 minutes du siège de la NSA de Fort Meade[9]. Vupen Security et toutes ses filiales ont été finalement dissoutes le et liquidées définitivement le [10],[11].
Ses fondateurs, dont Chaouki Bekrar, créent en 2015, aux États-Unis, la plateforme Zerodium (en) destinée à la vente de failles informatiques zero-day[12],[13].
Notes et références
[modifier | modifier le code]- Yves Eudes, « Hackers d’État », Le Monde, (lire en ligne)
- « Vupen, la PME française qui a travaillé pour la NSA », sur lemonde.lemonde.fr, (consulté le )
- (de) « Vupen „Threat Protection“: Wir veröffentlichen den Vertrag, mit dem das BSI Sicherheitslücken und Exploits kauft », sur netzpolitik.org, (consulté le )
- (fr) Le gagnant du concours de hacking Pwn2own est un Français, sur referencementgoogle.eu, consulté le 19 mars 2014.
- (en) Andy Greenberg, « Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees) », Forbes, (lire en ligne)
- « IE11, Firefox, Flash et Reader craqués au Pwn2own 2014 », Le Monde Informatique, (lire en ligne)
- (en) « Vupen Details Firefox Use-After-Free Vulnerability Exploited at Pwn2Own », Security Week, (lire en ligne)
- (en) « Notice to Exporters 2014/31: EU Control List of dual-use items has been comprehensively updated », sur blogs.bis.gov.uk, (consulté le )
- « Vupen ouvre un bureau aux Etats-Unis, mais affirme garder son siège en France. », sur pastresnet.blog.lemonde.fr, (consulté le )
- « Actes déposés sur Infogreffe pour la société VUPEN SECURITY »
- « Vupen fuit Wassenaar à Fort Meade », sur www.intelligenceonline.fr, (consulté le )
- Yves Eudes, « iPhone : une faille à un million de dollars », Le Monde, (lire en ligne).
- Antoine Champagne, « NSO : une soudaine médiatisation qu'il faut replacer dans un contexte », Reflets.info, .