Chaouki Bekrar, le fondateur de Vupen Security, société fondée à Montpellier et spécialisée dans la découverte et la vente de vulnérabilités logicielles et exploits, lance, avec d’autres spécialistes de la cybersécurité, Zerodium. Cette nouvelle start-up est prête à s’activer dans l’acquisition de failles zero day (des failles encore ignorées de l’éditeur de logiciels concerné).
Zerodium déclare sur son site web se concentrer uniquement sur « les vulnérabilités à haut risque et les exploits entièrement fonctionnels » affectant largement les systèmes d’exploitation, les logiciels et/les terminaux mobiles et fixes. La start-up veut également verser aux chercheurs/hackers indépendants « des primes plus élevées » que les offres de programmes concurrents, parmi lesquels : Bugcrowd, HackerOne, Synack, Internet Bug Bounty ou encore les programmes dédiés d’acteurs du numérique comme Mozilla et Google.
Zerodium fera ses premières offres aux chasseurs de failles zero day cette semaine.
Zerodium a l’intention d’analyser et de documenter les découvertes acquises auprès de chasseurs tiers pour constituer un flux d’informations de sécurité (Zerodium Security Research Feed ou Z-SRF). Accessible en contrepartie d’un abonnement, le flux s’adresse aux futurs clients, « grandes entreprises des secteurs de la défense, des technologies et de la finance et agences gouvernementales. »
Des détails techniques par faille, des recommandations et des mesures de protection leur seront proposés. L’utilisation offensive de failles zero day (compromission et espionnage de systèmes cibles) n’a pas encore été évoquée. Cette pratique controversée a été mise en lumière après l’attaque dont a fait l’objet Hacking Team récemment, et par les révélations d’Edward Snwoden sur la NSA.
Lire aussi :
Hacking Team a-t-il été piraté par un gouvernement ?
Vente de failles et d’exploits : le Français Vupen a bien fourni la NSA
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…
Comme avant la Coupe du monde de rugby, l'ANSSI dresse un état des lieux de…
Diverses tendances animant l'univers des LLM transparaissent en filigrane du discours de Meta sur Llama…