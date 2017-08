Il y a encore 1 an, Zerodium, proposait 500 000 dollars pour une zero day dans iOS 9 avant de faire monter les enchères à 1,5 million de dollars pour un exploit sur iOS 10 d’Apple. Aujourd’hui, le broker de failles critiques fait évoluer son programme de récompenses en ciblant notamment les messageries mobiles.

Dans un communiqué publié hier, la société a indiqué que désormais, elle paierait jusqu’à un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur : WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal et iMessage. Ce niveau de rémunération parmi les plus élevées du programme accompagne la montée en puissance des usages des messageries mobiles et l’intérêt pour les Etats ou les cybercriminels de s’attaquer à ces services. Zerodium justifie le montant de la récompense, par le fait que « la majorité des bug bounty (programme de recherche de bug) récompense mal la découverte de vulnérabilités ou la création de POC (prototype, NDLR)».

Un usage croissant et une demande des gouvernements

Dans un entretien à nos confrères de ThreatPost, Chaouki Bekrar, fondateur de Zerodium, explique que les autorités gouvernementales sont à la recherche de zero day dans les solutions de messageries pour surveiller et analyser les échanges entre les criminels ou les terroristes. Lors des attentats en France et dans d’autres pays, la police et les services de renseignements se sont plaints de ne pouvoir avoir accès aux messageries sécurisées de type Signal ou Telegram. La CIA s’est cassée les dents sur le chiffrement de bout en bout de WhatsApp, Signal ou Telegram. Peut-être qu’avec une prime de 500 000 dollars, les hackers vont porter leur attention sur ces messageries sécurisées.

Des failles avaient été découvertes dans Signal utilisables dans le cadre d’une attaque de type Man in the Middle (MITM). Il est possible que dans quelques mois, Zerodium remonte le prix des récompenses sur des zero days liées à ces messageries pour atteindre le million de dollars.

