Vupen

	Vupen Security
Création	8 septembre 2004
Disparition	30/12/2014 dissolution
Forme juridique	SA à conseil d'administration
Siège social	Montpellier; France
Activité	Programmation informatique APE 6201Z
Société mère	Vupen USA
SIREN	478502123
Site web	www.vupen.com
Chiffre d'affaires	2 917 900 € en 2014
Résultat net	1 282 600 € en 2014
	modifier - modifier le code - voir Wikidata

Vupen Security est une entreprise française de sécurité informatique fondée en 2004 à Montpellier, et implantée également à Annapolis aux États-Unis. Son cœur de métier est la recherche de vulnérabilités dans les logiciels des principaux éditeurs mondiaux, afin de les revendre ensuite aux agences gouvernementales à des fins d'utilisations défensives ou offensives^[2]. La société compte parmi sa clientèle l'agence américaine NSA^[3] et l'agence allemande BSI^[4].

Vupen Security a remporté en 2011, 2012, 2013 et 2014^[5] le premier prix au concours de hacking Pwn2Own, en exploitant notamment en 2012 une faille de Google Chrome. Leur décision de ne pas révéler les détails de la vulnérabilité à Google mais de les vendre avait alors fait scandale^[2]^,^[6]. Au cours du Pwn2Own 2014, où les équipes de Vupen Security s'illustrent en obtenant 400 000 dollars de récompense^[7], la société accepte de fournir à tous les éditeurs concernés, y compris Google, les détails techniques concernant les failles exploitées^[8], permettant la publication de correctifs de sécurité.

En 2014, Vupen Security décide d'arrêter son activité, motivée par la lourdeur des procédures administratives, mais aussi par les incertitudes juridiques qui pèsent sur son activité, menacée notamment par un amendement de l'arrangement de Wassenaar entré en vigueur le 31 décembre 2014 pour l'Europe^[9]. L'entreprise a ouvert, fin 2013, un bureau à Annapolis, aux États-Unis, à 25 minutes du siège de la NSA de Fort Meade^[10]. Vupen Security et toutes ses filiales ont été finalement dissoutes le 30 décembre 2014 et liquidées définitivement le 27 avril 2015^[11]^,^[12].

Ses fondateurs, dont Chaouki Bekrar, créent en 2015, aux États-Unis, la plateforme Zerodium (en) destinée à la vente de failles informatiques zero-day^[13]^,^[14].

Notes et références[modifier | modifier le code]

↑ Sirene, (base de données)
↑ ^{a et b} Yves Eudes, « Hackers d’État », Le Monde,‎ 19 février 2013 (lire en ligne)
↑ « Vupen, la PME française qui a travaillé pour la NSA », sur lemonde.lemonde.fr, 29 novembre 2013 (consulté le 26 avril 2015)
↑ (de) « Vupen „Threat Protection“: Wir veröffentlichen den Vertrag, mit dem das BSI Sicherheitslücken und Exploits kauft », sur netzpolitik.org, 15 décembre 2014 (consulté le 12 mai 2015)
↑ (fr) Le gagnant du concours de hacking Pwn2own est un Français, sur referencementgoogle.eu, consulté le 19 mars 2014.
↑ (en) Andy Greenberg, « Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees) », Forbes,‎ 21 mars 2012 (lire en ligne)
↑ « IE11, Firefox, Flash et Reader craqués au Pwn2own 2014 », Le Monde Informatique,‎ 13 mars 2014 (lire en ligne)
↑ (en) « Vupen Details Firefox Use-After-Free Vulnerability Exploited at Pwn2Own », Security Week,‎ 22 mai 2014 (lire en ligne)
↑ (en) « Notice to Exporters 2014/31: EU Control List of dual-use items has been comprehensively updated », sur blogs.bis.gov.uk, 18 décembre 2014 (consulté le 26 avril 2015)
↑ « Vupen ouvre un bureau aux Etats-Unis, mais affirme garder son siège en France. », sur pastresnet.blog.lemonde.fr, 19 décembre 2013 (consulté le 26 avril 2015)
↑ « Actes déposés sur Infogreffe pour la société VUPEN SECURITY »
↑ « Vupen fuit Wassenaar à Fort Meade », sur www.intelligenceonline.fr, 14 janvier 2015 (consulté le 26 avril 2015)
↑ Yves Eudes, « iPhone : une faille à un million de dollars », Le Monde,‎ 4 novembre 2015 (lire en ligne).
↑ Antoine Champagne, « NSO : une soudaine médiatisation qu'il faut replacer dans un contexte », Reflets.info, 19 juillet 2021.

[wikidata-4a0d84641d25f6abbcb935d20ccb15ba33ef9629Q3509449-1] Sirene, (base de données)

[LeMonde-2] {a et b} Yves Eudes, « Hackers d’État », Le Monde,‎ 19 février 2013 (lire en ligne)

[3] « Vupen, la PME française qui a travaillé pour la NSA », sur lemonde.lemonde.fr, 29 novembre 2013 (consulté le 26 avril 2015)

[4] (de) « Vupen „Threat Protection“: Wir veröffentlichen den Vertrag, mit dem das BSI Sicherheitslücken und Exploits kauft », sur netzpolitik.org, 15 décembre 2014 (consulté le 12 mai 2015)

[5] (fr) Le gagnant du concours de hacking Pwn2own est un Français, sur referencementgoogle.eu, consulté le 19 mars 2014.

[Forbes-6] (en) Andy Greenberg, « Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees) », Forbes,‎ 21 mars 2012 (lire en ligne)

[7] « IE11, Firefox, Flash et Reader craqués au Pwn2own 2014 », Le Monde Informatique,‎ 13 mars 2014 (lire en ligne)

[8] (en) « Vupen Details Firefox Use-After-Free Vulnerability Exploited at Pwn2Own », Security Week,‎ 22 mai 2014 (lire en ligne)

[9] (en) « Notice to Exporters 2014/31: EU Control List of dual-use items has been comprehensively updated », sur blogs.bis.gov.uk, 18 décembre 2014 (consulté le 26 avril 2015)

[10] « Vupen ouvre un bureau aux Etats-Unis, mais affirme garder son siège en France. », sur pastresnet.blog.lemonde.fr, 19 décembre 2013 (consulté le 26 avril 2015)

[11] « Actes déposés sur Infogreffe pour la société VUPEN SECURITY »

[12] « Vupen fuit Wassenaar à Fort Meade », sur www.intelligenceonline.fr, 14 janvier 2015 (consulté le 26 avril 2015)

[13] Yves Eudes, « iPhone : une faille à un million de dollars », Le Monde,‎ 4 novembre 2015 (lire en ligne).

[14] Antoine Champagne, « NSO : une soudaine médiatisation qu'il faut replacer dans un contexte », Reflets.info, 19 juillet 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]