En octobre 2015, Zerodium proposait une récompense d’un million de dollars pour le premier à lui délivrer une faille inconnue dans iOS 9. C’est ce qui s’appelle un commerce de failles 0-day. Si un prix avait été décerné dans le mois suivant, cette année, c’est une prime qui sera permanente.
Le marché gris des failles de sécurité
La société Zerodium va encore plus loin cette année en proposant 1,5 million de dollars pour répondre à sa demande. La faille doit être exploitable sur la dernière version du système mobile d’Apple. Comme la dernière fois, Zerodium n’a pas dévoilé ses intentions. L’éditeur est spécialisé dans la collection et la revente des failles 0-day. Mais pour quel client ? L’entreprise fait partie de ce marché gris des failles de sécurité, où toutes sortes de sociétés peuvent racheter ce type d’information. La NSA a affirmé qu’elle retenait 9 % de toutes les brèches analysées.
https://twitter.com/Zerodium/status/781516292901789696
Le gain avant l’éthique
Une chose est sûre, les vulnérabilités collectées n’ont pas pour premier but de renforcer la sécurité… Les tarifs pratiqués sont élevés et ne sont pas prêts de baisser : le FBI a par exemple dépensé 1,3 million de dollars pour une seule faille.
Les éditeurs essayent de se battre contre ce phénomène avec la chasse aux bugs rémunérée, les bugs bounties. Certaines de ces primes peuvent atteindre les 200 000 dollars, comme c’est le cas avec Apple.
Cependant, il reste très difficile pour les éditeurs de lutter efficacement contre ce marché gris. Leurs primes restent très en dessous de ce que proposent en moyenne les sociétés comme Zerodium ou Exodus Intelligence, à savoir 500 000 dollars.
Android également visé
Nougat est aussi dans le collimateur de Zerodium qui a augmenté les plafonds de ses primes pour Android. La plus grosse atteint les 200 000 dollars. Cette prime équivaut cependant à celle offerte par Google pour sécuriser son système.
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Zerodium paye 200 000 $ pour Android et 1,5 million de dollars pour iOS. Cela fait de la peine pour Android OS. Mais bon on savait deja que niveau sécurité, Apple était au top!
Elle revend la faille à qui le voudra (FBI, mafia ou hackers, c'est au choix.)
Mais elle gagne quoi apres tt?
On devrait interdire à une société tierce de proposer une prime pour une faille d'un système qui n'est pas le sien
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix