En 2015, l’entreprise Zerodium fondée par l’homme d’affaires français Chaouki Bekrar annonçait qu’elle verserait 1 million de dollars à qui lui fournirait discrètement les moyens de contrôler à distance un iPhone sous iOS 9, ce qu’elle a obtenu quelques semaines plus tard. La startup s’est donnée pour mission de servir d’intermédiaire entre les hackers qui découvrent des failles de sécurité exploitables, et les services de renseignement ou entreprises qui pourraient être intéressées pour les connaître. Bekrar connaît les potentiels clients grâce au carnet d’adresses qu’il s’est fait avec Vupen, et achète les solutions qu’il sait pouvoir revendre.
Un an plus tard, et même si Zerodium est fortement soupçonné d’avoir contribué à permettre l’espionnage de dissidents aux Émirats Arabes Unis, l’entreprise remet ça. Avec une prime plus importante encore.
La startup annonce sur son site internet qu’elle est prête à mettre 1,5 millions de dollars sur la table pour acheter une faille qui permettrait de jailbreaker à distance un iPhone sous iOS 10, sans que la victime s’en aperçoive. Une fois exploitée, une telle faille permet d’installer discrètement des spywares qui enregistrent l’activité de l’utilisateur, activent le micro, envoient des copies des carnets d’adresses et autres SMS reçus, etc.
La faille pour le nouveau système d’Apple est de loin la plus recherchée puisque Zerodium n’offre que 200 000 dollars pour le même type de technique sur Android 7 « Nougat », preuve que le marché du Renseignement est beaucoup moins demandeur — probablement parce que le système est encore très rare sur les téléphones Android alors qu’Apple déploie très vite ses mises à jour sur une partie importante des iPhone.
« Alors que la plupart des programmes de bug bounty acceptent pratiquement tous types de vulnérabilités et des PoCs (proof-of concepts) mais payent des primes moins importantes, chez Zerodium nous nous concentrons sur des vulnérabilités de haut-risque avec des exploits pleinement fonctionnels, et nous payons les récompenses les plus élevées du marché », indique le site de la société.
Mais l’entreprise dispose également de sa propre équipe de recherche en interne, et recrute actuellement des hackers spécialisés dans les découvertes de failles sur les navigateurs Web, les noyaux des systèmes d’exploitation, et sur les mobiles.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.