Recherche zero day sur iOS 9, 1 million de dollars de récompense

La start-up Zerodium promet une récompense de 1 million de dollars pour trouver une faille critique dans iOS 9.

La société Zerodium, fondée par le français Chaouki Bekrar (à l’origine de Vupen), promet une récompense de 1 million de dollars pour la découverte d’une faille de type zero day sur iOS 9. Pour mémoire, Zerodium se concentrer uniquement sur « les vulnérabilités à haut risque et les exploits entièrement fonctionnels » affectant largement les systèmes d’exploitation, les logiciels, et les terminaux mobiles et fixes.

La start-up  veut également verser aux chercheurs/hackers indépendants « des primes plus élevées » que les offres de programmes concurrents, parmi lesquels : Bugcrowd, HackerOne, Synack, Internet Bug Bounty ou encore les programmes dédiés d’acteurs du numérique comme Mozilla et Google.

Un marché difficilement contrôlable

Le montant peut apparaître disproportionné, mais il reflète aussi l’état d’un marché difficilement contrôlable, celui de la recherche de vulnérabilités suffisamment importantes et non corrigées pour accéder aux contenus des smartphones ou des tablettes. Un marché très fragmenté où on retrouve les acteurs IT qui mettent en place des programmes de chasse aux failles (Bug Bounty) avec des récompenses pour des montants divers et variés, mais moindre par rapport au marché noir ou à des sociétés comme Zerodium. Ce programme implique que les hackers révèlent le procédé de leurs attaques afin que les fournisseurs colmatent les brèches. Dans le cas de Zerodium, il s’agit avant tout d’obtenir une faille Zero day et ensuite de la vendre au plus offrant, et notamment aux Etats. Apple étant très présent dans les entreprises et a vocation à renforcer cette stratégie, les hackers ciblent en priorité les terminaux de la firme de Cupertino.

Devant cette organisation du marché, les Etats commencent à vouloir réguler les exportations des brèches critiques à travers l’arrangement Wassenaar, un accord multilatéral de contrôle des exportations pour armes conventionnelles et équipements et technologies à usage à la fois civil et militaire.

A lire aussi :

Des failles zero day trouvées chez Kaspersky et FireEye

32 failles zero day dévoilées à la prochaine Black Hat USA