Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

Nerd de la guerre
Mobilité 3 min
Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10
Crédits : Luc Willame/iStock

La société Zerodium, connue pour faire commerce de failles 0-day, est de retour avec une annonce fracassante : elle offre 1,5 million de dollars à toute personne lui fournissant les détails d’une brèche exploitable dans iOS 10. Contrairement à l'année dernière, cette prime est maintenant permanente.

Octobre 2015. Zerodium promet de récompenser d’un million de dollars la première personne qui lui apportera sur un plateau une vulnérabilité inconnue, non corrigée et exploitable dans iOS 9, alors la dernière version disponible. Une faille 0-day donc. Le 2 novembre, la société indique que le concours est terminé et que le prix a été remporté.

Sécurité renforcée ? La prime aussi

Presque un an plus tard, Zerodium récidive en allant plus loin. Cette fois, elle met 1,5 million de dollars sur la table pour la même demande. À deux nuances près. D'une part, la faille doit cette fois être exploitable sur la dernière révision du système mobile, à savoir iOS 10. D'autre part, il ne s'agit pas d'une promotion mais d'une prime permanente. Par contre, ce que la société fera de ces informations reste à son entière discrétion, comme précédemment. 

Il n’est cependant guère difficile de le savoir. Zerodium fait partie des éditeurs collectionnant les failles 0-day pour les revendre. La nature du client reste, là encore, un mystère. Il s’agit du marché gris des failles de sécurité, où des chercheurs peuvent vendre leurs trouvailles, qui seront alors achetées ensuite par des pirates, des entreprises, l’armée, une agence de renseignement ou n’importe qui en ayant les moyens.

Marché gris et risques de sécurité

Un marché qui soulève constamment des questions de sécurité. Les brèches ainsi collectées sont rarement achetées dans un objectif de renforcement des défenses. Les tarifs qui se pratiquent engendrent une nécessité d’amortir le coup en en tirant parti. Pour la NSA par exemple – qui a indiqué elle-même retenir 9 % de toutes les failles analysées – ce peut être dans le cadre d’une opération d’espionnage. Quand on sait que le FBI a déboursé au moins 1,3 million de dollar pour une vulnérabilité, les tarifs n'ont aucune raison de baisser.

Or, toute faille qui n’est pas signalée à son éditeur est une porte ouverte sans contrôle d’accès. C’est l’éternelle problématique des portes dérobées : ceux qui la découvrent ne peuvent jamais avoir l’assurance qu’ils sont les seuls à connaître son existence. Le risque de piratage pour les utilisateurs augmente avec le temps.

Les éditeurs dépassés sur le terrain financier

Les éditeurs tentent évidemment de lutter contre le phénomène, notamment à travers les bug bounties, les chasses aux bugs rémunérées. Apple a fait une entrée intéressante dans ce domaine récemment, avec des primes pouvant grimper jusqu’à 200 000 dollars. Dans l’absolu, Apple se trouve dans le haut du panier avec une telle échelle. Dans la pratique, la firme est encore loin du compte.

Difficile en effet de lutter efficacement contre les entreprises du marché gris, qui peuvent aligner des sommes bien plus élevées. Pour reprendre le cas de Zerodium, le montant maximal habituel est déjà de 500 000 dollars, plus du double de ce qu’Apple peut fournir via son programme. Même chose pour Exodus Intelligence, comme nous l’indiquions mi-août. En cas de « promotion », le montant s’envole et les bounties sont amplement dépassés. Un chercheur privilégiant le gain à l’éthique pourrait-il vraiment fermer les yeux sur 1,5 million de dollars ?

Nougat fait grimper les primes pour Android

Notez que parallèlement à cette nouvelle offre pour iOS, Zerodium a également relevé les plafonds des primes pour les failles sur Android avec la sortie de Nougat. Le maximum passe ainsi à 200 000 dollars. Dans tous les cas, qu’il s’agisse d’iOS ou d’Android, la plus haute prime n’est atteinte que si la faille permet une exploitation à distance, à la manière de ce que permettait par exemple Stagefright.

24 commentaires
Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 03/10/16 à 07:30:42

ils offrent une prime de 1.5M$ pour une faille dans IOS 10, une prime de 200 k$ pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?

Avatar de Athropos INpactien
Avatar de AthroposAthropos- 03/10/16 à 07:31:26

Voilà, je découvre que ce genre d'entreprise peut légalement exister et faire son beurre sur le dos des éditeurs...

Avatar de knos Abonné
Avatar de knosknos- 03/10/16 à 07:34:05

Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.

Avatar de wanou2 Abonné
Avatar de wanou2wanou2- 03/10/16 à 07:41:03

knos a écrit :

Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.

 

Ces boites marchent sur un fil elles seront dans la "légalité" jusqu'à ce qu'elles dépassent les bornes. Si une de ces boites fait une transaction avec l'ennemi (ou considéré comme tel par les autorités américaines) et ses dirigeants iront croupir pauvres dans une geôle américaine !

Je pense même que leur portefeuille de clients est soumis à un contrôle "informel".

Avatar de knos Abonné
Avatar de knosknos- 03/10/16 à 07:45:29

Possible mais bon des clients prêt a payer plus de 1.5M (marge oblige) pour une faille il ne doit pas y en avoir tant que cela. Donc dans le lot tu dois avoir un peu de tout.

Avatar de Gigatoaster INpactien
Avatar de GigatoasterGigatoaster- 03/10/16 à 07:55:50

Comment ces boites arrivent à provisionner ou aligner 1.5 millions de dollars?

Avatar de Liara T'soni INpactien
Avatar de Liara T'soniLiara T'soni- 03/10/16 à 08:00:02

Ils revendent la faille le double ?

Avatar de maxscript INpactien
Avatar de maxscriptmaxscript- 03/10/16 à 08:27:09

Liara T'soni a écrit :

Ils revendent la faille le double ?

et plusieurs fois ;)

Avatar de Lafisk INpactien
Avatar de LafiskLafisk- 03/10/16 à 08:47:58

picatrix a écrit :

ils offrent une prime de 1.5M$ pour une faille dans IOS 10, une prime de 200 k$ pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?

Surtout que pour le coup, une faille W10M a de forte chances de se retrouver sur l'OS desktop ...

En tout cas, Apple qui propose 200k c'est un peu du foutage de gueule quand on voit le pognon qu'ils ont, à moins qu'ils pensent avoir tellement de trou qu'à force de filer des millier par-ci par-là, ils pensent être sur la paille ...

Avatar de ProFesseur Onizuka Abonné
Avatar de ProFesseur OnizukaProFesseur Onizuka- 03/10/16 à 08:51:06

Les mafias ne se cachent même plus quant elles travaillent pour les gouvernements, démocraties? droits de l'Homme? :windu:

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Sécurité renforcée ? La prime aussi
  • Marché gris et risques de sécurité
  • Les éditeurs dépassés sur le terrain financier
  • Nougat fait grimper les primes pour Android
S'abonner à partir de 3,75 €