Exodus Intelligence : jusqu’à 500 000 dollars pour une faille 0-day dans iOS

La société privée Exodus Intelligence veut engranger des failles 0-day pour iOS. Elle propose jusqu’à 500 000 dollars de récompense pour de telles brèches. Ce que deviendront ces informations n’est pas explicite, mais Exodus éclipse le programme lancé par Apple, qui offre jusqu'à 200 000 dollars.

La société Exodus Intelligence a lancé mercredi son propre programme de chasse aux bugs rémunéré. Pour une faille 0-day dans iOS (9.3 minimum), la somme peut grimper jusqu’à 500 000 dollars. C’est moitié moins que ce que proposait déjà Zerodium, mais on parle bien ici d’un programme permanent. Exodus récompensera également jusqu’à 125 000 dollars pour une faille 0-day dans Edge, le navigateur de Microsoft, et 150 000 dollars pour Chrome. La société accepte en outre les failles N-day, mais les sommes seront évidemment en chute libre.

Plus du double du montant proposé par Apple

Exodus nomme cette opération « Research Sponsorship Program ». La société explique qu’il s’agit de collecter des données pour le bénéfice de la communauté de la sécurité. Mais on parle bien ici d’achat et de vente de failles de sécurité. Il est d’ailleurs précisé que les sommes maximales ne peuvent être perçues que si au moins une méthode d’exploitation effective est fournie. En outre, en fait de bénéfice pour la communauté, les détails ne sont transmis qu’aux clients d’Exodus, le ticket d’entrée annuel démarrant à 200 000 dollars.

Cette entreprise s’est déjà fait remarquer à plusieurs reprises. Elle avait par exemple indiqué que les patchs correctifs pour Stragefright étaient incomplets. Plusieurs chercheurs avaient donné d’importantes informations sur la manière d’en finir avec la fameuse faille d’Android. Mais quand un problème était apparu dans la distribution « amnésique » Linux Tails, Exodus avait salué l’arrivée d’une version 1.1 colmatant des failles… tout en précisant que ses propres brèches 0-day étaient toujours efficaces.

Mais plus que la simple activité d’une entreprise qui n’est pas seule sur ce marché, c’est une situation globale que le nouveau programme d’Exodus éclaire une nouvelle fois. Les entreprises qui le peuvent ont tout intérêt à calibrer soigneusement les récompenses de leurs « bug bounties », car certains chercheurs suivront le sens des mathématiques : Exodus peut payer plus de deux fois le maximum offert par Apple. Il suffit pour s'en convaincre de rouvrir le dossier de l'opposition avec le FBI, qui a payé au moins 1,3 million de dollars pour une faille lui ouvrant les portes d'un iPhone 5c.

Les sociétés qui commercialisent les failles ont un autre avantage sur les programmes des éditeurs. Quand ces derniers définissent des périmètres précis pour la recherche de vulnérabilités – sanctionnant même lourdement ceux qui sortent des chemins balisés – les Exodus ou Zerodium accueillent à bras ouverts toute vulnérabilité exploitable, semble-t-il sans vraiment se soucier de la manière dont elles ont été trouvées.

D'un problème prioritaire à une simple monnaie d'échange

Apple est particulièrement sensible à cette collecte. L’entreprise ne récompensait pas jusqu'à présent ceux qui lui signalaient des bugs, particulièrement les failles de sécurité. Lorsqu’un chercheur ou autre découvre une brèche, il avait le choix entre une simple mention de son nom dans les crédits des bulletins de sécurité, ou d’obtenir potentiellement une grosse somme d’argent en passant par le marché gris. De là l’annonce récente chez Apple d’un tel programme, avec des récompenses pouvant grimper jusqu’à 200 000, partir de septembre.

Pour beaucoup, les failles de sécurité sont tout de même un problème à résoudre au plus vite. Les techniques pour les débusquer et les colmater se sont largement améliorées, mais les exploitations ont suivi la même tendance. Les éditeurs font en général au plus vite pour diffuser les correctifs salvateurs, au risque de voir les clients perdre de précieuses données et d’acquérir une bien mauvaise réputation.

Pour d’autres, une faille de sécurité représente un moyen. Les révélations de Snowden n’ont fait que renforcer l’idée qu’un immense marché gris permet la vente de ces précieuses informations au plus offrant. S’il fallait encore des preuves de son existence, on rappellera que la NSA s’était expliqué sur sa gestion des failles, indiquant que 91 % de celles collectées étaient communiquées aux éditeurs respectifs. L’agence ne précisait évidemment pas si des détails avaient été mis de côté, et encore moins ce qu’il advenait des 9 % restants.

Les concentrateurs de failles 0-day

Mais outre les agences gouvernementales de renseignement, les forces de l’ordre ou même l’armée, certaines entreprises se sont fait une spécialité de ce genre de collecte. Elles achètent des failles 0-day (pour lesquelles il n’y a aucun correctif), le plus souvent au prix fort, en vue de les revendre au plus offrant : il s’agit du fameux marché gris. Ces entreprises servent ainsi de relais, les failles 0-day n’étant plus que des marchandises.

L’un des cas les plus connus est celui de la société Zerodium, fondée aux États-Unis par le Français Chaouki Bekrar, qui avait en 2004 créé une autre entreprise bien connue dans ce domaine, Vupen, maintenant fermée. Zerodium avait récompensé d’un million de dollars une faille 0-day dans iOS 9, alors tout juste sorti. Un plafond très au-delà de ce que proposent notamment Google et Microsoft, qui possèdent cependant de tels programmes depuis des années. Il est clair que le message d’Apple dans ce domaine est fort : confiez-nous les détails de vos failles, vous serez grassement récompensés. Mais justement, ces sommes vont-elles être suffisantes ?