Une faille zero day sur iOS 9 vaut 500 000 dollars

C’est la surenchère. Pour le plus grand profit des dénicheurs de bugs. Exodus Intelligence, une firme texane, a annoncé vouloir offrir entre 5 000 et jusqu’à 500 000 dollars de récompense à qui trouverait une faille zero day sur iOS 9.3 et plus.

Rappelons que les zero day sont des vulnérabilités qui restent inconnues de l’éditeur concerné. Donc d’Apple dans le cas présent. Des failles qui valent de l’or pour ce dernier afin de protéger ses solutions des tentatives d’attaques. Mais aussi pour d’autres acteurs qui peuvent vouloir se procurer ces informations pour espionner des équipements pourtant à jour de leurs patch de sécurité.

‘Seulement’ 200 000 $ chez Apple

Dans le cas présent, le demi million de dollars de récompense maximale que promet Exodus Intelligence dépasse, de loin, les 200 000 dollars – somme déjà significative – promis par Apple la semaine dernière avec le lancement de son bug bounty. C’est la première fois qu’Apple initie un tel programme de chasse aux vulnérabilités critiques rejoignant ainsi les stratégies de nombre d’acteurs dont Google et Microsoft ainsi que d’entreprises non issues du secteur des technologies (dont United Airline, General Motors…).

Constitué d’une communauté de chercheurs en sécurité issus des quatre coins du monde, Exodus Intelligence entend revendre ces trouvailles en matière de bugs aux principaux intéressés. La société a donc tout intérêt à couper l’herbe sous le pied d’Apple pour mieux lui facturer ses propres services. D’autant que la firme de Cupertino a décidé de limiter, dans un premier temps, l’accès à son iBug Bounty à une poignée d’experts hautement spécialisés en sécurité. Exodus prétend par ailleurs être en mesure de prévenir les éditeurs jusqu’à deux ans avant que les failles zero day ne soient dévoilées publiquement, rapporte ComputerWorld. D’ailleurs, le Texan ne limite pas son périmètre de recherche à Apple et propose aussi des récompenses pour les vulnérabilités de Google Chrome (jusqu’à 150 000 dollars), Microsoft Edge (125 000 dollars), Windows 10 (75 000), Mozilla Firefox (80 000) et les solutions Adobe Reader et Flash (60 000 dollars chacune).

Loin du record de 1 million

Reste à savoir si Exodus se contente d’adresser ces découvertes aux seuls éditeurs légitimes desdites solutions ou bien s’il les commercialise également auprès d’acteurs tiers, comme des services de renseignement. Le FBI, notamment, fait régulièrement appel à des hackers dans le cadre de ses enquêtes, comme l’a illustré l’affaire du déblocage de l’iPhone 5c d’un des terroristes de l’attentat de San Bernardino. De son côté, la NSA dispose également d’un budget pour acheter des zero day.

Si le montant des récompenses proposées par Exodus est impressionnant, il ne constitue pas un record en la matière. Ce dernier est, à notre connaissance, détenu par Zerodium. Cette société spécialisée dans la revente de vulnérabilités avait lancé, en septembre 2015, un concours doté d’un million de dollars de récompense à qui trouverait une faille zero day dans iOS 9. Depuis qu’une équipe de hacker a décroché la timbale, Zerodium a revu ses générosités à la baisse. Mais n’en continue pas moins de proposer jusqu’à 500 000 dollars pour une faille zero day iOS.

Lire également

Sécurité : OVH lance son premier Bug Bounty
Le Bug Bounty du siècle : hackez le Pentagone
Bounty Factory : la recherche de bugs made in Europe est née

Crédit Photo : Vchal-Shutterstock