Après avoir promis 1 million de dollars pour une faille exploitable à distance dans iOS 9, Zerodium offre 1,5 million de dollars pour une faille similaire dans iOS 10.
L’année dernière, la firme Zerodium fondée par l’homme d’affaires français Chaouki Bekrar avait beaucoup fait parler d’elle en offrant 1 million de dollars pour une faille dans iOS 9 qui permettrait de prendre le contrôle à distance d’un iPhone. Désormais, l’entreprise propose 1,5 million de dollars pour une faille exploitable dans iOS 10. Alors que Zerodium avait obtenu ce qu’elle recherchait quelques semaines après avoir passé son offre en 2015, qu’en sera-t-il cette année ?
Cette offre lancée par Zerodium relance une fois de plus le débat sur la rémunération des failles de sécurité. Alors que les éditeurs de logiciels proposent de plus en plus des systèmes de primes pour récompenser les chercheurs en sécurité qui trouvent des failles, les primes proposées sont sans commune mesure avec celle proposée par Zerodium. Il faut dire que cette société sert d’intermédiaire entre les hackers qui découvrent des failles de sécurité exploitables et les services de renseignement ou les entreprises qui pourraient être intéressés de connaître ces vulnérabilités pour développer des outils d’espionnage, un marché qui est bien évidemment très lucratif.
« Alors que la plupart des programmes de bug bounty acceptent pratiquement tous types de vulnérabilités et des PoCs mais payent des primes moins importantes, chez Zerodium nous nous concentrons sur des vulnérabilités de haut-risque avec des exploits pleinement fonctionnels […] Nous payons les récompenses les plus élevées du marché », précise l’entreprise.
Les failles pour iOS valent bien plus cher que pour Android
Alors que la startup propose 1,5 million de dollars pour une faille qui permettrait de jailbreaker à distance un iPhone sous iOS 10, sans que la victime s’en aperçoive, l’offre n’est pas du tout la même pour les autres systèmes d’exploitation. Pour une faille identique sur Android 7.0 Nougat, la prime n’est en effet que de 200 000 dollars.
Clairement, le marché de l’espionnage est nettement plus demandeur de failles dans le système d’exploitation mobile d’Apple. Cela s’explique certainement par le fait que peu de mobiles sont équipés de la dernière version d’Android alors que la dernière version d’iOS a déjà été passablement installée.
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.
Malheureusement, l’espionnage entre les humains ne s’arrête pas ! Alors qu’il y a des millions de pauvres dans le monde qui mérite cette « 1,5 million de dollars »… c’est honteux.