Zerodium propose 1,5 million de dollars pour une faille 0-day dans iOS 10

Nerd de la guerre

Le 03 octobre 2016 à 06h30

4 min

Société numérique

La société Zerodium, connue pour faire commerce de failles 0-day, est de retour avec une annonce fracassante : elle offre 1,5 million de dollars à toute personne lui fournissant les détails d’une brèche exploitable dans iOS 10. Contrairement à l'année dernière, cette prime est maintenant permanente.

Octobre 2015. Zerodium promet de récompenser d’un million de dollars la première personne qui lui apportera sur un plateau une vulnérabilité inconnue, non corrigée et exploitable dans iOS 9, alors la dernière version disponible. Une faille 0-day donc. Le 2 novembre, la société indique que le concours est terminé et que le prix a été remporté.

Sécurité renforcée ? La prime aussi

Presque un an plus tard, Zerodium récidive en allant plus loin. Cette fois, elle met 1,5 million de dollars sur la table pour la même demande. À deux nuances près. D'une part, la faille doit cette fois être exploitable sur la dernière révision du système mobile, à savoir iOS 10. D'autre part, il ne s'agit pas d'une promotion mais d'une prime permanente. Par contre, ce que la société fera de ces informations reste à son entière discrétion, comme précédemment.

Il n’est cependant guère difficile de le savoir. Zerodium fait partie des éditeurs collectionnant les failles 0-day pour les revendre. La nature du client reste, là encore, un mystère. Il s’agit du marché gris des failles de sécurité, où des chercheurs peuvent vendre leurs trouvailles, qui seront alors achetées ensuite par des pirates, des entreprises, l’armée, une agence de renseignement ou n’importe qui en ayant les moyens.

Announcement - Our permanent bounty for iOS #0days increased to $1,500,000. New prices for Android, Chrome, Flash... https://t.co/fwqoXlbS0j

— Zerodium (@Zerodium) 29 septembre 2016

Marché gris et risques de sécurité

Un marché qui soulève constamment des questions de sécurité. Les brèches ainsi collectées sont rarement achetées dans un objectif de renforcement des défenses. Les tarifs qui se pratiquent engendrent une nécessité d’amortir le coup en en tirant parti. Pour la NSA par exemple – qui a indiqué elle-même retenir 9 % de toutes les failles analysées – ce peut être dans le cadre d’une opération d’espionnage. Quand on sait que le FBI a déboursé au moins 1,3 million de dollar pour une vulnérabilité, les tarifs n'ont aucune raison de baisser.

Or, toute faille qui n’est pas signalée à son éditeur est une porte ouverte sans contrôle d’accès. C’est l’éternelle problématique des portes dérobées : ceux qui la découvrent ne peuvent jamais avoir l’assurance qu’ils sont les seuls à connaître son existence. Le risque de piratage pour les utilisateurs augmente avec le temps.

Les éditeurs dépassés sur le terrain financier

Les éditeurs tentent évidemment de lutter contre le phénomène, notamment à travers les bug bounties, les chasses aux bugs rémunérées. Apple a fait une entrée intéressante dans ce domaine récemment, avec des primes pouvant grimper jusqu’à 200 000 dollars. Dans l’absolu, Apple se trouve dans le haut du panier avec une telle échelle. Dans la pratique, la firme est encore loin du compte.

Difficile en effet de lutter efficacement contre les entreprises du marché gris, qui peuvent aligner des sommes bien plus élevées. Pour reprendre le cas de Zerodium, le montant maximal habituel est déjà de 500 000 dollars, plus du double de ce qu’Apple peut fournir via son programme. Même chose pour Exodus Intelligence, comme nous l’indiquions mi-août. En cas de « promotion », le montant s’envole et les bounties sont amplement dépassés. Un chercheur privilégiant le gain à l’éthique pourrait-il vraiment fermer les yeux sur 1,5 million de dollars ?

Nougat fait grimper les primes pour Android

Notez que parallèlement à cette nouvelle offre pour iOS, Zerodium a également relevé les plafonds des primes pour les failles sur Android avec la sortie de Nougat. Le maximum passe ainsi à 200 000 dollars. Dans tous les cas, qu’il s’agisse d’iOS ou d’Android, la plus haute prime n’est atteinte que si la faille permet une exploitation à distance, à la manière de ce que permettait par exemple Stagefright.

Commentaires (24)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

after_burner

Le 03/10/2016 à 17h20

domFreedom a écrit :

" /> Dans l’ordre :

Zerodium : $1.5M

NSA : $1.5M (y’a pas d’raison qu’ils casquent moins " />)

DGSI : 100.000€ (t’es patriote, ou t’es pas patriote ?) (ou alors ils sont en faillite… " /> " /> " />)

Apple : Un iPhone 7 rose gratuit, avec 2 câbles USB-C " />

On verra bientôt des films américains sur l’histoire du jeune hacker qui à commencé à vendre des failles aux services de renseignement europpéens puis qui est devenu riche en collaborant avec les renseignements US, car après tout, l’europe c’est les mafieux et les pauvres, alors que les USA c’est le grand luxe. " />

" />" />

gogo77

Le 03/10/2016 à 18h27

En plus tu peux toujours t’arranger avec un autre chercheur pour qu’il dévoile la faille à ta place à Apple et lui laisser un petit billet. Comme ça ça fait genre quelqu’un d’autre a malheureusement découvert la même faille peu après toi ^^

En tout cas clairement il ne faut clairement pas hésiter à prendre ce genre de boîtes pour des cons.

picatrix

Le 03/10/2016 à 07h30

ils offrent une prime de 1.5M$ pour une faille dans IOS 10, une prime de 200 k$ pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?

anonyme_447570885b66ca42145fd71079a75237

Le 03/10/2016 à 07h31

Voilà, je découvre que ce genre d’entreprise peut légalement exister et faire son beurre sur le dos des éditeurs…

knos

Le 03/10/2016 à 07h34

Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.

wanou2

Le 03/10/2016 à 07h41

knos a écrit :

Temps que des agences comme la NSA seront clientes ils vont pas rendre cela illégal.

 

Ces boites marchent sur un fil elles seront dans la “légalité” jusqu’à ce qu’elles dépassent les bornes. Si une de ces boites fait une transaction avec l’ennemi (ou considéré comme tel par les autorités américaines) et ses dirigeants iront croupir pauvres dans une geôle américaine !

Je pense même que leur portefeuille de clients est soumis à un contrôle “informel”.

knos

Le 03/10/2016 à 07h45

Possible mais bon des clients prêt a payer plus de 1.5M (marge oblige) pour une faille il ne doit pas y en avoir tant que cela. Donc dans le lot tu dois avoir un peu de tout.

Gigatoaster

Le 03/10/2016 à 07h55

Comment ces boites arrivent à provisionner ou aligner 1.5 millions de dollars?

Liara T'soni

Le 03/10/2016 à 08h00

Ils revendent la faille le double ?

maxscript

Le 03/10/2016 à 08h27

Liara T’soni a écrit :

Ils revendent la faille le double ?

et plusieurs fois ;)

Lafisk

Le 03/10/2016 à 08h47

picatrix a écrit :

ils offrent une prime de 1.5M$ pour une faille dans IOS 10, une prime de 200 k$ pour une faille Android et pour une faille windows 10 mobile, même pas un carambar ?

Surtout que pour le coup, une faille W10M a de forte chances de se retrouver sur l’OS desktop …

En tout cas, Apple qui propose 200k c’est un peu du foutage de gueule quand on voit le pognon qu’ils ont, à moins qu’ils pensent avoir tellement de trou qu’à force de filer des millier par-ci par-là, ils pensent être sur la paille …

ProFesseur Onizuka

Le 03/10/2016 à 08h51

Les mafias ne se cachent même plus quant elles travaillent pour les gouvernements, démocraties? droits de l’Homme? " />

MeL-S Premium

Le 03/10/2016 à 09h18

200K$ ce n'est pas forcément du foutage de gueule mais peut-être une stratégie pour Apple. Quand une faille est découverte je pense qu'Apple en est avertis (le nombre d'acheteur capable de lâcher rapidement plusieurs M$ doit être restreint) et qu’il est libre d’enchérir s’il le souhaite.

Donc plutôt que de claquer des M$ à chaque fois, ils ont d'un côté des failles à 200K$ remontées par de gentils pirates et, d’un autre côté, des failles à XM$ achetées (aux enchères ?) à de viles sociétés qui ont fait du recel de failles leur métier.

after_burner

Le 03/10/2016 à 10h55

Vu le fric que possède Apple, quelqu’un qui découvre une telle faille n’aurait pas plutôt intérêt à faire monter les enchères de leur coté en prétextant la revendre à zerodium si il ne s’aligne pas sur le prix?

Ce serait pas du chantage vu que la revente de failles est apparemment un marché tout ce qu’il y a de plus légal…

Krogoth

Le 03/10/2016 à 11h23

A priori rien n’empeche de revendre a Zerodium, Exodus Intelligence ET Apple :p Ou alors il y a des contrats “d’exclusivité” :p

t0FF

Le 03/10/2016 à 11h32

Vivement que ce genre de pratique soit illégales…

 

after_burner

Le 03/10/2016 à 11h43

Krogoth a écrit :

A priori rien n’empeche de revendre a Zerodium, Exodus Intelligence ET Apple :p Ou alors il y a des contrats “d’exclusivité” :p

Le truc c’est que si tu mets Apple dans le lot, la valeur de la faille pour les autres va forcément diminuée drastiquement vu qu’ils auront connaissance de la faiblesse, donc autant tout miser sur Apple " />

Maintenant si on peut revendre sans dire que l’on a déjà revendue à d’autre (ce serait encore plus “limite” dans la malhonnêteté), ouais, y a intérêt à revendre plusieurs fois cette faille.

" />

" />

gogo77

Le 03/10/2016 à 11h48

Ouais enfin Zerodium achète une faille 0-day. Si tu la vend aussi à l’éditeur concerné elle est plus vraiment 0-day " />

Je trouve ça ouf que ça soit un business légal quand même. Encore qu’une agence de renseignement puisse puisse faire un appel avec un gros chèque à la clé, même si je suis contre je peux comprendre.

Mais qu’on puisse monter une boîte qui achète des failles à n’importe qui pour les revendre ensuite c’est complètement dingue! Je pense qu’il devrait être simplement interdit de revendre des failles excepté à l’éditeur concerné (pas de raisons non plus d’améliorer gratuitement la sécurité des produits d’entreprises qui se font du pognon avec ces dits produits non plus)

after_burner

Le 03/10/2016 à 11h52

Ou alors vendre la faille une fois, puis aller voir Apple en disant que la faille est déjà en train de circuler et que si ils veulent la connaitre va falloir casquer… " />

" />" />

Notice me Sempai

Le 03/10/2016 à 12h38

hum faut avoir des corones en acier trempe et maillage en titane pour entuber des clients comme ca. surtout s’ils apprennent que tu as revendu derriere la dite faille a l’editeur !

mais bon comme dit plus haut, on est pas a une action malhonnete pres quand on vend des 0-day

domFreedom

Le 03/10/2016 à 13h13

after_burner a écrit :

Ou alors vendre la faille une fois, puis aller voir Apple en disant que la faille est déjà en train de circuler et que si ils veulent la connaitre va falloir casquer… " />

" />" />

" /> Dans l’ordre :

Zerodium : $1.5M

NSA : $1.5M (y’a pas d’raison qu’ils casquent moins " />)

DGSI : 100.000€ (t’es patriote, ou t’es pas patriote ?) (ou alors ils sont en faillite… " /> " /> " />)

Apple : Un iPhone 7 rose gratuit, avec 2 câbles USB-C " />

Krogoth

Le 03/10/2016 à 13h42

C’est là qu’est la feinte.

Si tu commences par vendre a Zerodium ou autre apple et les autres ne seront pas au courant de la faille donc tu peux la proposer à d’autres comme une faille 0 days ^^.

gogo77

Le 03/10/2016 à 16h26

Oui c’est sûr, mais bon un peu de conscience professionnelle tout de même! " />

Krogoth

Le 03/10/2016 à 17h14

En faisant comme dit les seuls qui se font un peu pigeonner sont Zerodium  et autre. Apple aura lui aussi sa faille 0-day et les users leur fixe. Tout le monde est gagnant sauf les premiers creuvards…