Dans l’ombre de Vupen, Zerodium programme les chasseurs de failles zero day

Chaouki Bekrar, le fondateur de Vupen Security, société fondée à Montpellier et spécialisée dans la découverte et la vente de vulnérabilités logicielles et exploits, lance, avec d’autres spécialistes de la cybersécurité, Zerodium. Cette nouvelle start-up est prête à s’activer dans l’acquisition de failles zero day (des failles encore ignorées de l’éditeur de logiciels concerné).

Vulnérabilité à haut risque et exploits fonctionnels

Zerodium déclare sur son site web se concentrer uniquement sur « les vulnérabilités à haut risque et les exploits entièrement fonctionnels » affectant largement les systèmes d’exploitation, les logiciels et/les terminaux mobiles et fixes. La start-up veut également verser aux chercheurs/hackers indépendants « des primes plus élevées » que les offres de programmes concurrents, parmi lesquels : Bugcrowd, HackerOne, Synack, Internet Bug Bounty ou encore les programmes dédiés d’acteurs du numérique comme Mozilla et Google.

Zerodium fera ses premières offres aux chasseurs de failles zero day cette semaine.

Le flux Z-SRF pour gouvernements et grands groupes

Zerodium a l’intention d’analyser et de documenter les découvertes acquises auprès de chasseurs tiers pour constituer un flux d’informations de sécurité (Zerodium Security Research Feed ou Z-SRF). Accessible en contrepartie d’un abonnement, le flux s’adresse aux futurs clients, « grandes entreprises des secteurs de la défense, des technologies et de la finance et agences gouvernementales. »

Des détails techniques par faille, des recommandations et des mesures de protection leur seront proposés. L’utilisation offensive de failles zero day (compromission et espionnage de systèmes cibles) n’a pas encore été évoquée. Cette pratique controversée a été mise en lumière après l’attaque dont a fait l’objet Hacking Team récemment, et par les révélations d’Edward Snwoden sur la NSA.