Zerodium offre jusqu'à 45 000 dollars de récompense
Pour des rapports de failles zero-day dans Linux

Le , par Patrick Ruiz, Chroniqueur Actualités
Une startup qui achète des exploits zero-day propose d’offrir jusqu’à 45 000 dollars de récompense pour ceux qui permettent de tirer avantage de vulnérabilités d’élévation de privilège (LPE) dans Linux. Des distributions populaires comme Ubuntu, Debian ou Fedora sont visées. Zerodium, l’entreprise dont il est question ici, a déjà eu à payer jusqu’à 1,5 million de dollars ; tout dépend de la sécurité de la plateforme visée ainsi que de la demande sur le marché. Il faut dire que l’entreprise fait uniquement l’acquisition d’exploits totalement fonctionnels suivant un processus bien défini.


Si le programme est bien connu de la communauté des hackers, il faut dire que ses produits, résultat du travail des chercheurs, demeurent en général secrets. Et pour cause, Zerodium, l’entreprise fondée en 2015 et basée à Washington, intercepte les chercheurs en premier grâce à des incitatifs financiers substantiels et revend les exploits à des agences gouvernementales intéressées par d'éventuelles failles dans des systèmes en leur possession. Les failles LPE sont particulièrement prisées dans des contextes comme ceux-ci puisqu’elles permettent à un attaquant d’accéder à des zones d’un système en principe prohibées.

Zerodium procède en réalité à une revue à la hausse de la récompense de son programme de bug bounty pour des vulnérabilités zero-day dans Linux. Jusqu’ici, la barre était élevée à 30 000 dollars, ce qui suggère une augmentation de la demande d’exploits de ce type dans son carnet client. L’offre arrive avec une date d’expiration fixée au 31 mars 2018.


L’an dernier, la startup avait mis jusqu’à 1 million de dollars sur la table pour récompenser des exploits contre la plateforme Tor. L’offre a expiré en décembre dernier et s’étalait sur trois mois. D’habitude, l’entreprise met jusqu’à 100 000 dollars de récompense pour des failles dans la plateforme d’anonymisation. En 2017, Anglais et Américains se sont fait entendre à plusieurs reprises pour appeler à la mise en place de portes dérobées à l’usage exclusif des forces de l’ordre. Zerodium en avait alors profité pour attirer les chercheurs en sécurité avec une offre allant jusqu’à 500 000 dollars pour des failles dans des applications de messagerie populaires comme iMessage, Telegram ou WhatsApp.

Source

Zerodium

Votre opinion

Les incitatifs financiers sont-ils suffisants pour vous amener à envisager une reconversion comme chercheur en sécurité ?

Voir aussi

Google fait le bilan de ses programmes de chasse aux bogues, 2,9 millions de dollars déboursés en 2017


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Nb Nb - Membre actif https://www.developpez.com
le 11/02/2018 à 0:54
C'est incroyable que ce genre de choses puisse légalement exister.
Le pire étant qu'ils trouvent des personnes pourtant pas idiotes, mais sans éthique, qui ont la vue assez basse pour se faire enfler en leur vendant des failles tout en sciant la branche sur laquelle ils sont assis.
Avatar de ParseCoder ParseCoder - Membre actif https://www.developpez.com
le 11/02/2018 à 19:52
Ca devrai être illégal de faire des choses pareilles.
Avatar de frfancha frfancha - Membre confirmé https://www.developpez.com
le 11/02/2018 à 23:58
Je ne comprends pas le titre: "des rapports de failles zero-day" ?
Pourquoi zero-day?
Si la faille n'est pas zero-day elle est connue donc on ne peut plus la "rapporter"?
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 12/02/2018 à 14:08
C'est incroyable que ce genre de choses puisse légalement exister
Que ce soit légal cela n'a rien de choquant. Que des agences gouvernementales payent des entreprises privées qui garderont secret les failles de sécurité l'est beaucoup plus. Cela veux dire, ni plus ni moins, que l'état paye des entreprises qui laissent des failles de sécurités dans les système (voire sponsorise les backdoor) avec l'argent des citoyens mettant ainsi en péril la sécurité du pays ou du moins des citoyens... D'autant plus qu'après, un autre pays "enemis", n'a qu'a repayer cette même entreprise pour récupérer ces failles.
Avatar de hotcryx hotcryx - Membre extrêmement actif https://www.developpez.com
le 12/02/2018 à 16:02




Avatar de Nb Nb - Membre actif https://www.developpez.com
le 12/02/2018 à 16:53
Citation Envoyé par abriotde Voir le message
Que ce soit légal cela n'a rien de choquant. Que des agences gouvernementales payent des entreprises privées qui garderont secret les failles de sécurité l'est beaucoup plus. Cela veux dire, ni plus ni moins, que l'état paye des entreprises qui laissent des failles de sécurités dans les système (voire sponsorise les backdoor) avec l'argent des citoyens mettant ainsi en péril la sécurité du pays ou du moins des citoyens... D'autant plus qu'après, un autre pays "enemis", n'a qu'a repayer cette même entreprise pour récupérer ces failles.
Et bien moi ca me pose un problème que ça soit légal. Car tu donnes un pouvoir immense à une bande de gars dont tu ne sais presque rien. Et effectivement, tu as raison, ils peuvent magouiller avec des etats qui n'ont pas plus de morales qu'eux, mais aussi favoriser l'espionnage industriel, donner des moyens d'actions à des fanatiques...etc.
C'est pas nouveau, on laisse faire ca un peu partout. Mais la différence c'est que souvent ca arrive à des boites qui a un moment ont contribué à faire énormément avancer un domaine (ce qui ne les rend pas moins dangereuses) et donc l'argent et le pouvoir qu'elles concentrent s'inscrivent dans une certaine logique (c'est pas pour ça qu'il ne faut rien faire).
Eux dès le depart on sait qu'on a affaire à des parasites qui ont juste trouver comment gagner de l'argent sans rien faire et au détriment de tout ce qui n'est pas eux : les utilisateurs, les etats, les autres entreprises, les mecs qui développent du libre...etc.
Soit cette boite est une émanation de l’état américain et c'est dangereux, soit elle ne l'est pas et c'est tout aussi dangereux. Du coup, selon moi, ça ne devrait pas pouvoir exister légalement.
Avatar de micka132 micka132 - Membre expert https://www.developpez.com
le 12/02/2018 à 19:27
Citation Envoyé par Nb Voir le message
Et bien moi ça me pose un problème que ça soit légal.
Je vois pas ce qui pourrait être illégale sur des produits open source.
Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.

Sur le business model, c'est le principe de l'intermédiaire.
Avatar de RyzenOC RyzenOC - Inactif https://www.developpez.com
le 12/02/2018 à 20:46
et rien n’empêche les entreprises éditrice ou les communautés open source de payer pour avoir ces failles afin de les corriger par la suite.

Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.
pas besoin du code source ou de faire du rétro engineering pour découvrir une faille, comme je le comprend si tu découvre une faille dans whatapps ou dans windows 10 tu peut la vendre.
Avatar de CoderInTheDark CoderInTheDark - Membre éprouvé https://www.developpez.com
le 12/02/2018 à 22:20
Si ils visent Linux, ils ne visent pas les particuliers
Mais ils veulent s'attaquer aux serveurs et clairement vont encourager l'espionnage industriel.
Et là c'est grave.

Ca va mener à une course aux armement des entreprises dans un premier temps
Et eux ils se feront un plaisir de vendre des armes numériques à tout le monde
Et on se retrouvera dans une jungle où tout sera permis, voler les fichiers clients, détruire le SI du concurrent gênant , mettre le si hors service...

Dans une guerre c'est celui qui vend des armes aux belligérants, qui gagnent le plus de la guerre
Avatar de Nb Nb - Membre actif https://www.developpez.com
le 12/02/2018 à 22:48
Je vois pas ce qui pourrait être illégale sur des produits open source.
Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.
Bien sur que c'est légal, mais je trouve que c'est extrêmement dangereux de laisser une boite collecter des informations aussi sensibles sans qu'elle n'ait aucun compte à rendre à personne. C'est assez proche de la vente d'arme (autant sur le fond que sur la forme), c'est légal dans certains pays, c'est légal pour tous les etats, mais c'est pas pour ca que c'est normal que ca le soit.
Contacter le responsable de la rubrique Accueil