Pour gérer vos consentements :
Categories: MobilitéOS mobilesPolitique de sécuritéSécurité

Recherche zero day sur iOS 9, 1 million de dollars de récompense

La société Zerodium, fondée par le français Chaouki Bekrar (à l’origine de Vupen), promet une récompense de 1 million de dollars pour la découverte d’une faille de type zero day sur iOS 9. Pour mémoire, Zerodium se concentrer uniquement sur « les vulnérabilités à haut risque et les exploits entièrement fonctionnels » affectant largement les systèmes d’exploitation, les logiciels, et les terminaux mobiles et fixes.

La start-up  veut également verser aux chercheurs/hackers indépendants « des primes plus élevées » que les offres de programmes concurrents, parmi lesquels : Bugcrowd, HackerOne, Synack, Internet Bug Bounty ou encore les programmes dédiés d’acteurs du numérique comme Mozilla et Google.

Un marché difficilement contrôlable

Le montant peut apparaître disproportionné, mais il reflète aussi l’état d’un marché difficilement contrôlable, celui de la recherche de vulnérabilités suffisamment importantes et non corrigées pour accéder aux contenus des smartphones ou des tablettes. Un marché très fragmenté où on retrouve les acteurs IT qui mettent en place des programmes de chasse aux failles (Bug Bounty) avec des récompenses pour des montants divers et variés, mais moindre par rapport au marché noir ou à des sociétés comme Zerodium. Ce programme implique que les hackers révèlent le procédé de leurs attaques afin que les fournisseurs colmatent les brèches. Dans le cas de Zerodium, il s’agit avant tout d’obtenir une faille Zero day et ensuite de la vendre au plus offrant, et notamment aux Etats. Apple étant très présent dans les entreprises et a vocation à renforcer cette stratégie, les hackers ciblent en priorité les terminaux de la firme de Cupertino.

Devant cette organisation du marché, les Etats commencent à vouloir réguler les exportations des brèches critiques à travers l’arrangement Wassenaar, un accord multilatéral de contrôle des exportations pour armes conventionnelles et équipements et technologies à usage à la fois civil et militaire.

A lire aussi :

Des failles zero day trouvées chez Kaspersky et FireEye

32 failles zero day dévoilées à la prochaine Black Hat USA

Share
Published by
Jacques Cheminat
Tags: AppleChaouki BekrariOS 9Vupenzero-day
9 années ago

Recent Posts

Oracle choisit l’expertise Java et SQL pour son « IA qui code »

Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…

10 heures ago

EPEI (Daniel Kretinsky) vise Atos : les axes directeurs de sa proposition

EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…

12 heures ago

Onepoint veut reprendre Atos : les grandes lignes de son offre

Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…

14 heures ago

AWS prend ses distances avec VMware version Broadcom

Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…

1 jour ago

Avec ZTDNS, Microsoft essuie les plâtres du zero trust appliqué au DNS

Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…

2 jours ago

Atos sur la voie d’un sauvetage ? Point de situation

Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…

2 jours ago