L’entreprise Zerodium offre 1,5 million de dollars à celui ou celle qui sera en mesure de lui fournir les détails d’une brèche exploitable sous iOS 10.

6355318323_4c41d3ef76_b

En octobre 2015, Zerodium proposait une récompense d’un million de dollars pour le premier à lui délivrer une faille inconnue dans iOS 9. C’est ce qui s’appelle un commerce de failles 0-day. Si un prix avait été décerné dans le mois suivant, cette année, c’est une prime qui sera permanente.   

Le marché gris des failles de sécurité

La société Zerodium va encore plus loin cette année en proposant 1,5 million de dollars pour répondre à sa demande. La faille doit être exploitable sur la dernière version du système mobile d’Apple. Comme la dernière fois, Zerodium n’a pas dévoilé ses intentions. L’éditeur est spécialisé dans la collection et la revente des failles 0-day. Mais pour quel client ? L’entreprise fait partie de ce marché gris des failles de sécurité, où toutes sortes de sociétés peuvent racheter ce type d’information. La NSA a affirmé qu’elle retenait 9 % de toutes les brèches analysées.

Le gain avant l’éthique

Une chose est sûre, les vulnérabilités collectées n’ont pas pour premier but de renforcer la sécurité… Les tarifs pratiqués sont élevés et ne sont pas prêts de baisser : le FBI a par exemple dépensé 1,3 million de dollars pour une seule faille.

Les éditeurs essayent de se battre contre ce phénomène avec la chasse aux bugs rémunérée, les bugs bounties. Certaines de ces primes peuvent atteindre les 200 000 dollars, comme c’est le cas avec Apple.

Cependant, il reste très difficile pour les éditeurs de lutter efficacement contre ce marché gris. Leurs primes restent très en dessous de ce que proposent en moyenne les sociétés comme Zerodium ou Exodus Intelligence, à savoir 500 000 dollars.

Android également visé

Nougat est aussi dans le collimateur de Zerodium qui a augmenté les plafonds de ses primes pour Android. La plus grosse atteint les 200 000 dollars. Cette prime équivaut cependant à celle offerte par Google pour sécuriser son système.