La société Zerodium, connue pour faire commerce de failles 0-day, est de retour avec une annonce fracassante : elle offre 1,5 million de dollars à toute personne lui fournissant les détails d’une brèche exploitable dans iOS 10. Contrairement à l'année dernière, cette prime est maintenant permanente.
Octobre 2015. Zerodium promet de récompenser d’un million de dollars la première personne qui lui apportera sur un plateau une vulnérabilité inconnue, non corrigée et exploitable dans iOS 9, alors la dernière version disponible. Une faille 0-day donc. Le 2 novembre, la société indique que le concours est terminé et que le prix a été remporté.
Sécurité renforcée ? La prime aussi
Presque un an plus tard, Zerodium récidive en allant plus loin. Cette fois, elle met 1,5 million de dollars sur la table pour la même demande. À deux nuances près. D'une part, la faille doit cette fois être exploitable sur la dernière révision du système mobile, à savoir iOS 10. D'autre part, il ne s'agit pas d'une promotion mais d'une prime permanente. Par contre, ce que la société fera de ces informations reste à son entière discrétion, comme précédemment.
Il n’est cependant guère difficile de le savoir. Zerodium fait partie des éditeurs collectionnant les failles 0-day pour les revendre. La nature du client reste, là encore, un mystère. Il s’agit du marché gris des failles de sécurité, où des chercheurs peuvent vendre leurs trouvailles, qui seront alors achetées ensuite par des pirates, des entreprises, l’armée, une agence de renseignement ou n’importe qui en ayant les moyens.
Announcement - Our permanent bounty for iOS #0days increased to $1,500,000. New prices for Android, Chrome, Flash... https://t.co/fwqoXlbS0j
— Zerodium (@Zerodium) 29 septembre 2016
Marché gris et risques de sécurité
Un marché qui soulève constamment des questions de sécurité. Les brèches ainsi collectées sont rarement achetées dans un objectif de renforcement des défenses. Les tarifs qui se pratiquent engendrent une nécessité d’amortir le coup en en tirant parti. Pour la NSA par exemple – qui a indiqué elle-même retenir 9 % de toutes les failles analysées – ce peut être dans le cadre d’une opération d’espionnage. Quand on sait que le FBI a déboursé au moins 1,3 million de dollar pour une vulnérabilité, les tarifs n'ont aucune raison de baisser.
Or, toute faille qui n’est pas signalée à son éditeur est une porte ouverte sans contrôle d’accès. C’est l’éternelle problématique des portes dérobées : ceux qui la découvrent ne peuvent jamais avoir l’assurance qu’ils sont les seuls à connaître son existence. Le risque de piratage pour les utilisateurs augmente avec le temps.
Les éditeurs dépassés sur le terrain financier
Les éditeurs tentent évidemment de lutter contre le phénomène, notamment à travers les bug bounties, les chasses aux bugs rémunérées. Apple a fait une entrée intéressante dans ce domaine récemment, avec des primes pouvant grimper jusqu’à 200 000 dollars. Dans l’absolu, Apple se trouve dans le haut du panier avec une telle échelle. Dans la pratique, la firme est encore loin du compte.
Difficile en effet de lutter efficacement contre les entreprises du marché gris, qui peuvent aligner des sommes bien plus élevées. Pour reprendre le cas de Zerodium, le montant maximal habituel est déjà de 500 000 dollars, plus du double de ce qu’Apple peut fournir via son programme. Même chose pour Exodus Intelligence, comme nous l’indiquions mi-août. En cas de « promotion », le montant s’envole et les bounties sont amplement dépassés. Un chercheur privilégiant le gain à l’éthique pourrait-il vraiment fermer les yeux sur 1,5 million de dollars ?
Nougat fait grimper les primes pour Android
Notez que parallèlement à cette nouvelle offre pour iOS, Zerodium a également relevé les plafonds des primes pour les failles sur Android avec la sortie de Nougat. Le maximum passe ainsi à 200 000 dollars. Dans tous les cas, qu’il s’agisse d’iOS ou d’Android, la plus haute prime n’est atteinte que si la faille permet une exploitation à distance, à la manière de ce que permettait par exemple Stagefright.
