Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

Nerd de la guerre

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

03/10/2016 4 minutes
24

Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

La société Zerodium, connue pour faire commerce de failles 0-day, est de retour avec une annonce fracassante : elle offre 1,5 million de dollars à toute personne lui fournissant les détails d’une brèche exploitable dans iOS 10. Contrairement à l'année dernière, cette prime est maintenant permanente.

Octobre 2015. Zerodium promet de récompenser d’un million de dollars la première personne qui lui apportera sur un plateau une vulnérabilité inconnue, non corrigée et exploitable dans iOS 9, alors la dernière version disponible. Une faille 0-day donc. Le 2 novembre, la société indique que le concours est terminé et que le prix a été remporté.

Sécurité renforcée ? La prime aussi

Presque un an plus tard, Zerodium récidive en allant plus loin. Cette fois, elle met 1,5 million de dollars sur la table pour la même demande. À deux nuances près. D'une part, la faille doit cette fois être exploitable sur la dernière révision du système mobile, à savoir iOS 10. D'autre part, il ne s'agit pas d'une promotion mais d'une prime permanente. Par contre, ce que la société fera de ces informations reste à son entière discrétion, comme précédemment. 

Il n’est cependant guère difficile de le savoir. Zerodium fait partie des éditeurs collectionnant les failles 0-day pour les revendre. La nature du client reste, là encore, un mystère. Il s’agit du marché gris des failles de sécurité, où des chercheurs peuvent vendre leurs trouvailles, qui seront alors achetées ensuite par des pirates, des entreprises, l’armée, une agence de renseignement ou n’importe qui en ayant les moyens.

Marché gris et risques de sécurité

Un marché qui soulève constamment des questions de sécurité. Les brèches ainsi collectées sont rarement achetées dans un objectif de renforcement des défenses. Les tarifs qui se pratiquent engendrent une nécessité d’amortir le coup en en tirant parti. Pour la NSA par exemple – qui a indiqué elle-même retenir 9 % de toutes les failles analysées – ce peut être dans le cadre d’une opération d’espionnage. Quand on sait que le FBI a déboursé au moins 1,3 million de dollar pour une vulnérabilité, les tarifs n'ont aucune raison de baisser.

Or, toute faille qui n’est pas signalée à son éditeur est une porte ouverte sans contrôle d’accès. C’est l’éternelle problématique des portes dérobées : ceux qui la découvrent ne peuvent jamais avoir l’assurance qu’ils sont les seuls à connaître son existence. Le risque de piratage pour les utilisateurs augmente avec le temps.

Les éditeurs dépassés sur le terrain financier

Les éditeurs tentent évidemment de lutter contre le phénomène, notamment à travers les bug bounties, les chasses aux bugs rémunérées. Apple a fait une entrée intéressante dans ce domaine récemment, avec des primes pouvant grimper jusqu’à 200 000 dollars. Dans l’absolu, Apple se trouve dans le haut du panier avec une telle échelle. Dans la pratique, la firme est encore loin du compte.

Difficile en effet de lutter efficacement contre les entreprises du marché gris, qui peuvent aligner des sommes bien plus élevées. Pour reprendre le cas de Zerodium, le montant maximal habituel est déjà de 500 000 dollars, plus du double de ce qu’Apple peut fournir via son programme. Même chose pour Exodus Intelligence, comme nous l’indiquions mi-août. En cas de « promotion », le montant s’envole et les bounties sont amplement dépassés. Un chercheur privilégiant le gain à l’éthique pourrait-il vraiment fermer les yeux sur 1,5 million de dollars ?

Nougat fait grimper les primes pour Android

Notez que parallèlement à cette nouvelle offre pour iOS, Zerodium a également relevé les plafonds des primes pour les failles sur Android avec la sortie de Nougat. Le maximum passe ainsi à 200 000 dollars. Dans tous les cas, qu’il s’agisse d’iOS ou d’Android, la plus haute prime n’est atteinte que si la faille permet une exploitation à distance, à la manière de ce que permettait par exemple Stagefright.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Sécurité renforcée ? La prime aussi

Marché gris et risques de sécurité

Les éditeurs dépassés sur le terrain financier

Nougat fait grimper les primes pour Android

Commentaires (24)


ils offrent une prime de 1.5M\( pour une faille dans IOS 10, une prime de 200 k\) pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?


Voilà, je découvre que ce genre d’entreprise peut légalement exister et faire son beurre sur le dos des éditeurs…


Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.








knos a écrit :



Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.



 



Ces boites marchent sur un fil elles seront dans la “légalité” jusqu’à ce qu’elles dépassent les bornes. Si une de ces boites fait une transaction avec l’ennemi (ou considéré comme tel par les autorités américaines) et ses dirigeants iront croupir pauvres dans une geôle américaine !



Je pense même que leur portefeuille de clients est soumis à un contrôle “informel”.



Possible mais bon des clients prêt a payer plus de 1.5M (marge oblige) pour une faille il ne doit pas y en avoir tant que cela. Donc dans le lot tu dois avoir un peu de tout.


Comment ces boites arrivent à provisionner ou aligner 1.5 millions de dollars?


Ils revendent la faille le double ?








Liara T’soni a écrit :



Ils revendent la faille le double ?





et plusieurs fois ;)









picatrix a écrit :



ils offrent une prime de 1.5M\( pour une faille dans IOS 10, une prime de 200 k\) pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?







Surtout que pour le coup, une faille W10M a de forte chances de se retrouver sur l’OS desktop …





En tout cas, Apple qui propose 200k c’est un peu du foutage de gueule quand on voit le pognon qu’ils ont, à moins qu’ils pensent avoir tellement de trou qu’à force de filer des millier par-ci par-là, ils pensent être sur la paille …



Les mafias ne se cachent même plus quant elles travaillent pour les gouvernements, démocraties? droits de l’Homme? <img data-src=" />


200K\( ce n'est pas forcément du foutage de gueule mais peut-être une stratégie pour Apple. Quand une faille est découverte je pense qu'Apple en est avertis (le nombre d'acheteur capable de lâcher rapidement plusieurs M\) doit être restreint) et qu’il est libre d’enchérir s’il le souhaite.



Donc plutôt que de claquer des M\( à chaque fois, ils ont d'un côté des failles à 200K\) remontées par de gentils pirates et, d’un autre côté, des failles à XM$ achetées (aux enchères ?) à de viles sociétés qui ont fait du recel de failles leur métier.


Vu le fric que possède Apple, quelqu’un qui découvre une telle faille n’aurait pas plutôt intérêt à faire monter les enchères de leur coté en prétextant la revendre à zerodium si il ne s’aligne pas sur le prix?



Ce serait pas du chantage vu que la revente de failles est apparemment un marché tout ce qu’il y a de plus légal…


A priori rien n’empeche de revendre a Zerodium, Exodus Intelligence ET Apple :p Ou alors il y a des contrats “d’exclusivité” :p


Vivement que ce genre de pratique soit illégales…

&nbsp;








Krogoth a écrit :



A priori rien n’empeche de revendre a Zerodium, Exodus Intelligence ET Apple :p Ou alors il y a des contrats “d’exclusivité” :p







Le truc c’est que si tu mets Apple dans le lot, la valeur de la faille pour les autres va forcément diminuée drastiquement vu qu’ils auront connaissance de la faiblesse, donc autant tout miser sur Apple <img data-src=" />



Maintenant si on peut revendre sans dire que l’on a déjà revendue à d’autre (ce serait encore plus “limite” dans la malhonnêteté), ouais, y a intérêt à revendre plusieurs fois cette faille.



<img data-src=" />

<img data-src=" />



Ouais enfin Zerodium achète une faille 0-day. Si tu la vend aussi à l’éditeur concerné elle est plus vraiment 0-day <img data-src=" />



Je trouve ça ouf que ça soit un business légal quand même. Encore qu’une agence de renseignement puisse puisse faire un appel avec un gros chèque à la clé, même si je suis contre je peux comprendre.



Mais qu’on puisse monter une boîte qui achète des failles à n’importe qui pour les revendre ensuite c’est complètement dingue! Je pense qu’il devrait être simplement interdit de revendre des failles excepté à l’éditeur concerné (pas de raisons non plus d’améliorer gratuitement la sécurité des produits d’entreprises qui se font du pognon avec ces dits produits non plus)


Ou alors vendre la faille une fois, puis aller voir Apple en disant que la faille est déjà en train de circuler et que si ils veulent la connaitre va falloir casquer… <img data-src=" />





<img data-src=" /><img data-src=" />


hum faut avoir des corones en acier trempe&nbsp;et maillage en titane pour entuber des clients comme ca. surtout s’ils apprennent que tu as revendu derriere la dite faille a l’editeur !

mais bon comme dit plus haut, on est pas a une action malhonnete pres quand on vend des 0-day








after_burner a écrit :



Ou alors vendre la faille une fois, puis aller voir Apple en disant que la faille est déjà en train de circuler et que si ils veulent la connaitre va falloir casquer… <img data-src=" />





<img data-src=" /><img data-src=" />







<img data-src=" /> Dans l’ordre :





  1. Zerodium : $1.5M

  2. NSA : $1.5M (y’a pas d’raison qu’ils casquent moins <img data-src=" />)

  3. DGSI : 100.000€ (t’es patriote, ou t’es pas patriote ?) (ou alors ils sont en faillite… <img data-src=" /> <img data-src=" /> <img data-src=" />)

  4. Apple : Un iPhone 7 rose gratuit, avec 2 câbles USB-C <img data-src=" />



C’est là qu’est la feinte.

Si tu commences par vendre a Zerodium ou autre apple et les autres ne seront pas au courant de la faille donc tu peux la proposer à d’autres comme une faille 0 days ^^.


Oui c’est sûr, mais bon un peu de conscience professionnelle tout de même! <img data-src=" />


En faisant comme dit les seuls qui se font un peu pigeonner sont&nbsp;Zerodium&nbsp; et autre. Apple aura lui aussi sa faille 0-day et les users leur fixe. Tout le monde est gagnant sauf les premiers creuvards…








domFreedom a écrit :



<img data-src=" /> Dans l’ordre :





  1. Zerodium : $1.5M

  2. NSA : $1.5M (y’a pas d’raison qu’ils casquent moins <img data-src=" />)

  3. DGSI : 100.000€ (t’es patriote, ou t’es pas patriote ?) (ou alors ils sont en faillite… <img data-src=" /> <img data-src=" /> <img data-src=" />)

  4. Apple : Un iPhone 7 rose gratuit, avec 2 câbles USB-C <img data-src=" />







    On verra bientôt des films américains sur l’histoire du jeune hacker qui à commencé à vendre des failles aux services de renseignement europpéens puis qui est devenu riche en collaborant avec les renseignements US, car après tout, l’europe c’est les mafieux et les pauvres, alors que les USA c’est le grand luxe. <img data-src=" />





    <img data-src=" /><img data-src=" />



En plus tu peux toujours t’arranger avec un autre chercheur pour qu’il dévoile la faille à ta place à Apple et lui laisser un petit billet. Comme ça ça fait genre quelqu’un d’autre a malheureusement découvert la même faille peu après toi ^^



En tout cas clairement il ne faut clairement pas hésiter à prendre ce genre de boîtes pour des cons.