Il y a encore 1 an, Zerodium, proposait 500 000 dollars pour une zero day dans iOS 9 avant de faire monter les enchères à 1,5 million de dollars pour un exploit sur iOS 10 d’Apple. Aujourd’hui, le broker de failles critiques fait évoluer son programme de récompenses en ciblant notamment les messageries mobiles.
Dans un communiqué publié hier, la société a indiqué que désormais, elle paierait jusqu’à un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur : WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal et iMessage. Ce niveau de rémunération parmi les plus élevées du programme accompagne la montée en puissance des usages des messageries mobiles et l’intérêt pour les Etats ou les cybercriminels de s’attaquer à ces services. Zerodium justifie le montant de la récompense, par le fait que « la majorité des bug bounty (programme de recherche de bug) récompense mal la découverte de vulnérabilités ou la création de POC (prototype, NDLR)».
Dans un entretien à nos confrères de ThreatPost, Chaouki Bekrar, fondateur de Zerodium, explique que les autorités gouvernementales sont à la recherche de zero day dans les solutions de messageries pour surveiller et analyser les échanges entre les criminels ou les terroristes. Lors des attentats en France et dans d’autres pays, la police et les services de renseignements se sont plaints de ne pouvoir avoir accès aux messageries sécurisées de type Signal ou Telegram. La CIA s’est cassée les dents sur le chiffrement de bout en bout de WhatsApp, Signal ou Telegram. Peut-être qu’avec une prime de 500 000 dollars, les hackers vont porter leur attention sur ces messageries sécurisées.
Des failles avaient été découvertes dans Signal utilisables dans le cadre d’une attaque de type Man in the Middle (MITM). Il est possible que dans quelques mois, Zerodium remonte le prix des récompenses sur des zero days liées à ces messageries pour atteindre le million de dollars.
A lire aussi :
Vente de zero days : une petite entreprise qui ne connaît pas la crise
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…