Jouissant déjà d’une solide réputation, Zerodium enfonce le clou : ce lundi 7 janvier, l’entreprise a annoncé qu’elle comptait payer jusqu’à 1 million de dollars toute personne disposant d’une vulnérabilité dans Whatsapp et iMessage et 2 millions pour une faille iOS. Plus largement, la firme controversée a annoncé augmenter l’ensemble des paiements qu’elle réserve aux experts en cybersécurité qui trouverait des failles dites zero days dans les grands logiciels.
Les bonnes affaires zero days
Fondée en 2015 par Chaouki Bekrar, déjà fondateur de la firme montpelliéraine Vupen, Zerodium est l’autre pendant du marché des zero days : si Vupen était spécialisée dans la découverte et la vente de failles, Zerodium concerne l’achat et la revente de failles à des tiers. Depuis ces premiers jours, la startup a décidé de secouer un marché encore discret en pratiquant des prix très élevés à l’achat, dépassant souvent les primes données par les entreprises lors de leurs bug-bounty.
En outre, Zerodium n’a jamais fait de secret sur son intention de s’inscrire dans les bonnes grâces des gouvernements et agences de renseignement toujours en quête de failles dites zero days : exploitables et concernant des logiciels majeurs sans n’avoir jamais été répertoriées.
La NSA, le GCHQ et d’autres grandes agences de renseignement du monde entier achètent à prix fort ces vulnérabilités qui donnent des accès privilégiés à des données confidentielles sur un très grand nombre d’appareils. En 2017, les documents appelés Vault 7 révélés par WikiLeaks montraient une collection importante de failles zero days jalousement gardées secrètes par la CIA. Zerodium tient pourtant à sa bonne image auprès des médias : elle révèle parfois au public des failles, comme une concernant Tor en septembre 2018, et prétend vendre ses failles qu’aux gouvernements légitimes et dans des procédures licites — sans toutefois produire des preuves de cette politique.
2 millions de dollars pour casser l’iPhone
En 2019, Zerodium a fixé son plus haut prix pour une hypothétique faille dans iOS qui permettrait de prendre le contrôle d’un iPhone sans nécessiter aucun clic de l’utilisateur (zero-click jailbreaks) : 2 millions de dollars, rubis sur l’ongle. À titre de comparaison, le célèbre logiciel Pegasus de la startup israélienne NSO Group utilisé pour prendre le contrôle des iPhone dans des régimes autoritaires comme les Émirats arabes unis (E.A.U.) et l’Arabie Saoudite nécessite un clic de la part de l’utilisateur.
« c’est le moment opportun pour devenir un chercheur de failles »
Observant une amélioration généralisée des solutions logicielles grand public, notamment les iPhone en constante amélioration pour résister aux attaques les plus sophistiquées, et une croissance parallèle de la demande de zero days, Patrick Wardle, ancien employé de la NSA, confie auprès de Ars Technica : « J’imagine que c’est le moment opportun pour devenir un chercheur de failles ». De son côté, le fondateur de Zerodium juge auprès de Motherboard que le marché se portera encore longtemps très bien : « Je connais le marché des vulnérabilités zero-days depuis quinze ans et je n’en ai jamais vu autant qu’en 2018 ».
Mise à jour du 11 janvier : comme mentionné dans la documentation de Zerodium, trouver une vulnérabilité n’est pas suffisant pour obtenir le paiement annoncé, l’individu doit également donner à l’entreprise une méthode précise pour exploiter la faille.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
