Il y a encore 1 an, Zerodium, proposait 500 000 dollars pour une zero day dans iOS 9 avant de faire monter les enchères à 1,5 million de dollars pour un exploit sur iOS 10 d’Apple. Aujourd’hui, le broker de failles critiques fait évoluer son programme de récompenses en ciblant notamment les messageries mobiles.
Dans un communiqué publié hier, la société a indiqué que désormais, elle paierait jusqu’à un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur : WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal et iMessage. Ce niveau de rémunération parmi les plus élevées du programme accompagne la montée en puissance des usages des messageries mobiles et l’intérêt pour les Etats ou les cybercriminels de s’attaquer à ces services. Zerodium justifie le montant de la récompense, par le fait que « la majorité des bug bounty (programme de recherche de bug) récompense mal la découverte de vulnérabilités ou la création de POC (prototype, NDLR)».
Dans un entretien à nos confrères de ThreatPost, Chaouki Bekrar, fondateur de Zerodium, explique que les autorités gouvernementales sont à la recherche de zero day dans les solutions de messageries pour surveiller et analyser les échanges entre les criminels ou les terroristes. Lors des attentats en France et dans d’autres pays, la police et les services de renseignements se sont plaints de ne pouvoir avoir accès aux messageries sécurisées de type Signal ou Telegram. La CIA s’est cassée les dents sur le chiffrement de bout en bout de WhatsApp, Signal ou Telegram. Peut-être qu’avec une prime de 500 000 dollars, les hackers vont porter leur attention sur ces messageries sécurisées.
Des failles avaient été découvertes dans Signal utilisables dans le cadre d’une attaque de type Man in the Middle (MITM). Il est possible que dans quelques mois, Zerodium remonte le prix des récompenses sur des zero days liées à ces messageries pour atteindre le million de dollars.
A lire aussi :
Vente de zero days : une petite entreprise qui ne connaît pas la crise
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…