Pour gérer vos consentements :

Recherche zero day sur iOS 9, 1 million de dollars de récompense

La société Zerodium, fondée par le français Chaouki Bekrar (à l’origine de Vupen), promet une récompense de 1 million de dollars pour la découverte d’une faille de type zero day sur iOS 9. Pour mémoire, Zerodium se concentrer uniquement sur « les vulnérabilités à haut risque et les exploits entièrement fonctionnels » affectant largement les systèmes d’exploitation, les logiciels, et les terminaux mobiles et fixes.

La start-up  veut également verser aux chercheurs/hackers indépendants « des primes plus élevées » que les offres de programmes concurrents, parmi lesquels : Bugcrowd, HackerOne, Synack, Internet Bug Bounty ou encore les programmes dédiés d’acteurs du numérique comme Mozilla et Google.

Un marché difficilement contrôlable

Le montant peut apparaître disproportionné, mais il reflète aussi l’état d’un marché difficilement contrôlable, celui de la recherche de vulnérabilités suffisamment importantes et non corrigées pour accéder aux contenus des smartphones ou des tablettes. Un marché très fragmenté où on retrouve les acteurs IT qui mettent en place des programmes de chasse aux failles (Bug Bounty) avec des récompenses pour des montants divers et variés, mais moindre par rapport au marché noir ou à des sociétés comme Zerodium. Ce programme implique que les hackers révèlent le procédé de leurs attaques afin que les fournisseurs colmatent les brèches. Dans le cas de Zerodium, il s’agit avant tout d’obtenir une faille Zero day et ensuite de la vendre au plus offrant, et notamment aux Etats. Apple étant très présent dans les entreprises et a vocation à renforcer cette stratégie, les hackers ciblent en priorité les terminaux de la firme de Cupertino.

Devant cette organisation du marché, les Etats commencent à vouloir réguler les exportations des brèches critiques à travers l’arrangement Wassenaar, un accord multilatéral de contrôle des exportations pour armes conventionnelles et équipements et technologies à usage à la fois civil et militaire.

A lire aussi :

Des failles zero day trouvées chez Kaspersky et FireEye

32 failles zero day dévoilées à la prochaine Black Hat USA

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

4 minutes ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

48 minutes ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

3 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

5 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

19 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

21 heures ago