Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10
Nerd de la guerre
Le 03 octobre 2016 à 06h30
4 min
Société numérique
Société
La société Zerodium, connue pour faire commerce de failles 0-day, est de retour avec une annonce fracassante : elle offre 1,5 million de dollars à toute personne lui fournissant les détails d’une brèche exploitable dans iOS 10. Contrairement à l'année dernière, cette prime est maintenant permanente.
Octobre 2015. Zerodium promet de récompenser d’un million de dollars la première personne qui lui apportera sur un plateau une vulnérabilité inconnue, non corrigée et exploitable dans iOS 9, alors la dernière version disponible. Une faille 0-day donc. Le 2 novembre, la société indique que le concours est terminé et que le prix a été remporté.
Sécurité renforcée ? La prime aussi
Presque un an plus tard, Zerodium récidive en allant plus loin. Cette fois, elle met 1,5 million de dollars sur la table pour la même demande. À deux nuances près. D'une part, la faille doit cette fois être exploitable sur la dernière révision du système mobile, à savoir iOS 10. D'autre part, il ne s'agit pas d'une promotion mais d'une prime permanente. Par contre, ce que la société fera de ces informations reste à son entière discrétion, comme précédemment.
Il n’est cependant guère difficile de le savoir. Zerodium fait partie des éditeurs collectionnant les failles 0-day pour les revendre. La nature du client reste, là encore, un mystère. Il s’agit du marché gris des failles de sécurité, où des chercheurs peuvent vendre leurs trouvailles, qui seront alors achetées ensuite par des pirates, des entreprises, l’armée, une agence de renseignement ou n’importe qui en ayant les moyens.
Announcement - Our permanent bounty for iOS #0days increased to $1,500,000. New prices for Android, Chrome, Flash... https://t.co/fwqoXlbS0j
— Zerodium (@Zerodium) 29 septembre 2016
Marché gris et risques de sécurité
Un marché qui soulève constamment des questions de sécurité. Les brèches ainsi collectées sont rarement achetées dans un objectif de renforcement des défenses. Les tarifs qui se pratiquent engendrent une nécessité d’amortir le coup en en tirant parti. Pour la NSA par exemple – qui a indiqué elle-même retenir 9 % de toutes les failles analysées – ce peut être dans le cadre d’une opération d’espionnage. Quand on sait que le FBI a déboursé au moins 1,3 million de dollar pour une vulnérabilité, les tarifs n'ont aucune raison de baisser.
Or, toute faille qui n’est pas signalée à son éditeur est une porte ouverte sans contrôle d’accès. C’est l’éternelle problématique des portes dérobées : ceux qui la découvrent ne peuvent jamais avoir l’assurance qu’ils sont les seuls à connaître son existence. Le risque de piratage pour les utilisateurs augmente avec le temps.
Les éditeurs dépassés sur le terrain financier
Les éditeurs tentent évidemment de lutter contre le phénomène, notamment à travers les bug bounties, les chasses aux bugs rémunérées. Apple a fait une entrée intéressante dans ce domaine récemment, avec des primes pouvant grimper jusqu’à 200 000 dollars. Dans l’absolu, Apple se trouve dans le haut du panier avec une telle échelle. Dans la pratique, la firme est encore loin du compte.
Difficile en effet de lutter efficacement contre les entreprises du marché gris, qui peuvent aligner des sommes bien plus élevées. Pour reprendre le cas de Zerodium, le montant maximal habituel est déjà de 500 000 dollars, plus du double de ce qu’Apple peut fournir via son programme. Même chose pour Exodus Intelligence, comme nous l’indiquions mi-août. En cas de « promotion », le montant s’envole et les bounties sont amplement dépassés. Un chercheur privilégiant le gain à l’éthique pourrait-il vraiment fermer les yeux sur 1,5 million de dollars ?
Nougat fait grimper les primes pour Android
Notez que parallèlement à cette nouvelle offre pour iOS, Zerodium a également relevé les plafonds des primes pour les failles sur Android avec la sortie de Nougat. Le maximum passe ainsi à 200 000 dollars. Dans tous les cas, qu’il s’agisse d’iOS ou d’Android, la plus haute prime n’est atteinte que si la faille permet une exploitation à distance, à la manière de ce que permettait par exemple Stagefright.
Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10
-
Sécurité renforcée ? La prime aussi
-
Marché gris et risques de sécurité
-
Les éditeurs dépassés sur le terrain financier
-
Nougat fait grimper les primes pour Android
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/10/2016 à 17h20
Le 03/10/2016 à 18h27
En plus tu peux toujours t’arranger avec un autre chercheur pour qu’il dévoile la faille à ta place à Apple et lui laisser un petit billet. Comme ça ça fait genre quelqu’un d’autre a malheureusement découvert la même faille peu après toi ^^
En tout cas clairement il ne faut clairement pas hésiter à prendre ce genre de boîtes pour des cons.
Le 03/10/2016 à 07h30
ils offrent une prime de 1.5M\( pour une faille dans IOS 10, une prime de 200 k\) pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?
Le 03/10/2016 à 07h31
Voilà, je découvre que ce genre d’entreprise peut légalement exister et faire son beurre sur le dos des éditeurs…
Le 03/10/2016 à 07h34
Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.
Le 03/10/2016 à 07h41
Le 03/10/2016 à 07h45
Possible mais bon des clients prêt a payer plus de 1.5M (marge oblige) pour une faille il ne doit pas y en avoir tant que cela. Donc dans le lot tu dois avoir un peu de tout.
Le 03/10/2016 à 07h55
Comment ces boites arrivent à provisionner ou aligner 1.5 millions de dollars?
Le 03/10/2016 à 08h00
Ils revendent la faille le double ?
Le 03/10/2016 à 08h27
Le 03/10/2016 à 08h47
Le 03/10/2016 à 08h51
Les mafias ne se cachent même plus quant elles travaillent pour les gouvernements, démocraties? droits de l’Homme? " />
Le 03/10/2016 à 09h18
200K\( ce n'est pas forcément du foutage de gueule mais peut-être une stratégie pour Apple. Quand une faille est découverte je pense qu'Apple en est avertis (le nombre d'acheteur capable de lâcher rapidement plusieurs M\) doit être restreint) et qu’il est libre d’enchérir s’il le souhaite.
Donc plutôt que de claquer des M\( à chaque fois, ils ont d'un côté des failles à 200K\) remontées par de gentils pirates et, d’un autre côté, des failles à XM$ achetées (aux enchères ?) à de viles sociétés qui ont fait du recel de failles leur métier.
Le 03/10/2016 à 10h55
Vu le fric que possède Apple, quelqu’un qui découvre une telle faille n’aurait pas plutôt intérêt à faire monter les enchères de leur coté en prétextant la revendre à zerodium si il ne s’aligne pas sur le prix?
Ce serait pas du chantage vu que la revente de failles est apparemment un marché tout ce qu’il y a de plus légal…
Le 03/10/2016 à 11h23
A priori rien n’empeche de revendre a Zerodium, Exodus Intelligence ET Apple :p Ou alors il y a des contrats “d’exclusivité” :p
Le 03/10/2016 à 11h32
Vivement que ce genre de pratique soit illégales…
Le 03/10/2016 à 11h43
Le 03/10/2016 à 11h48
Ouais enfin Zerodium achète une faille 0-day. Si tu la vend aussi à l’éditeur concerné elle est plus vraiment 0-day " />
Je trouve ça ouf que ça soit un business légal quand même. Encore qu’une agence de renseignement puisse puisse faire un appel avec un gros chèque à la clé, même si je suis contre je peux comprendre.
Mais qu’on puisse monter une boîte qui achète des failles à n’importe qui pour les revendre ensuite c’est complètement dingue! Je pense qu’il devrait être simplement interdit de revendre des failles excepté à l’éditeur concerné (pas de raisons non plus d’améliorer gratuitement la sécurité des produits d’entreprises qui se font du pognon avec ces dits produits non plus)
Le 03/10/2016 à 11h52
Ou alors vendre la faille une fois, puis aller voir Apple en disant que la faille est déjà en train de circuler et que si ils veulent la connaitre va falloir casquer… " />
" />" />
Le 03/10/2016 à 12h38
hum faut avoir des corones en acier trempe et maillage en titane pour entuber des clients comme ca. surtout s’ils apprennent que tu as revendu derriere la dite faille a l’editeur !
mais bon comme dit plus haut, on est pas a une action malhonnete pres quand on vend des 0-day
Le 03/10/2016 à 13h13
Le 03/10/2016 à 13h42
C’est là qu’est la feinte.
Si tu commences par vendre a Zerodium ou autre apple et les autres ne seront pas au courant de la faille donc tu peux la proposer à d’autres comme une faille 0 days ^^.
Le 03/10/2016 à 16h26
Oui c’est sûr, mais bon un peu de conscience professionnelle tout de même! " />
Le 03/10/2016 à 17h14
En faisant comme dit les seuls qui se font un peu pigeonner sont Zerodium et autre. Apple aura lui aussi sa faille 0-day et les users leur fixe. Tout le monde est gagnant sauf les premiers creuvards…