Zerodium offre jusqu'à 45 000 dollars de récompense
Pour des rapports de failles zero-day dans Linux
Le 2018-02-10 09:44:32, par Patrick Ruiz, Chroniqueur Actualités
Une startup qui achète des exploits zero-day propose d’offrir jusqu’à 45 000 dollars de récompense pour ceux qui permettent de tirer avantage de vulnérabilités d’élévation de privilège (LPE) dans Linux. Des distributions populaires comme Ubuntu, Debian ou Fedora sont visées. Zerodium, l’entreprise dont il est question ici, a déjà eu à payer jusqu’à 1,5 million de dollars ; tout dépend de la sécurité de la plateforme visée ainsi que de la demande sur le marché. Il faut dire que l’entreprise fait uniquement l’acquisition d’exploits totalement fonctionnels suivant un processus bien défini.
Si le programme est bien connu de la communauté des hackers, il faut dire que ses produits, résultat du travail des chercheurs, demeurent en général secrets. Et pour cause, Zerodium, l’entreprise fondée en 2015 et basée à Washington, intercepte les chercheurs en premier grâce à des incitatifs financiers substantiels et revend les exploits à des agences gouvernementales intéressées par d'éventuelles failles dans des systèmes en leur possession. Les failles LPE sont particulièrement prisées dans des contextes comme ceux-ci puisqu’elles permettent à un attaquant d’accéder à des zones d’un système en principe prohibées.
Zerodium procède en réalité à une revue à la hausse de la récompense de son programme de bug bounty pour des vulnérabilités zero-day dans Linux. Jusqu’ici, la barre était élevée à 30 000 dollars, ce qui suggère une augmentation de la demande d’exploits de ce type dans son carnet client. L’offre arrive avec une date d’expiration fixée au 31 mars 2018.
L’an dernier, la startup avait mis jusqu’à 1 million de dollars sur la table pour récompenser des exploits contre la plateforme Tor. L’offre a expiré en décembre dernier et s’étalait sur trois mois. D’habitude, l’entreprise met jusqu’à 100 000 dollars de récompense pour des failles dans la plateforme d’anonymisation. En 2017, Anglais et Américains se sont fait entendre à plusieurs reprises pour appeler à la mise en place de portes dérobées à l’usage exclusif des forces de l’ordre. Zerodium en avait alors profité pour attirer les chercheurs en sécurité avec une offre allant jusqu’à 500 000 dollars pour des failles dans des applications de messagerie populaires comme iMessage, Telegram ou WhatsApp.
Source
Zerodium
Votre opinion
Les incitatifs financiers sont-ils suffisants pour vous amener à envisager une reconversion comme chercheur en sécurité ?
Voir aussi
Google fait le bilan de ses programmes de chasse aux bogues, 2,9 millions de dollars déboursés en 2017
Si le programme est bien connu de la communauté des hackers, il faut dire que ses produits, résultat du travail des chercheurs, demeurent en général secrets. Et pour cause, Zerodium, l’entreprise fondée en 2015 et basée à Washington, intercepte les chercheurs en premier grâce à des incitatifs financiers substantiels et revend les exploits à des agences gouvernementales intéressées par d'éventuelles failles dans des systèmes en leur possession. Les failles LPE sont particulièrement prisées dans des contextes comme ceux-ci puisqu’elles permettent à un attaquant d’accéder à des zones d’un système en principe prohibées.
Zerodium procède en réalité à une revue à la hausse de la récompense de son programme de bug bounty pour des vulnérabilités zero-day dans Linux. Jusqu’ici, la barre était élevée à 30 000 dollars, ce qui suggère une augmentation de la demande d’exploits de ce type dans son carnet client. L’offre arrive avec une date d’expiration fixée au 31 mars 2018.
L’an dernier, la startup avait mis jusqu’à 1 million de dollars sur la table pour récompenser des exploits contre la plateforme Tor. L’offre a expiré en décembre dernier et s’étalait sur trois mois. D’habitude, l’entreprise met jusqu’à 100 000 dollars de récompense pour des failles dans la plateforme d’anonymisation. En 2017, Anglais et Américains se sont fait entendre à plusieurs reprises pour appeler à la mise en place de portes dérobées à l’usage exclusif des forces de l’ordre. Zerodium en avait alors profité pour attirer les chercheurs en sécurité avec une offre allant jusqu’à 500 000 dollars pour des failles dans des applications de messagerie populaires comme iMessage, Telegram ou WhatsApp.
Source
Zerodium
Votre opinion
Voir aussi
-
NbMembre avertiC'est incroyable que ce genre de choses puisse légalement exister.
Le pire étant qu'ils trouvent des personnes pourtant pas idiotes, mais sans éthique, qui ont la vue assez basse pour se faire enfler en leur vendant des failles tout en sciant la branche sur laquelle ils sont assis.le 11/02/2018 à 0:54 -
frfanchaMembre éprouvéJe ne comprends pas le titre: "des rapports de failles zero-day" ?
Pourquoi zero-day?
Si la faille n'est pas zero-day elle est connue donc on ne peut plus la "rapporter"?le 11/02/2018 à 23:58 -
CoderInTheDarkMembre émériteSi ils visent Linux, ils ne visent pas les particuliers
Mais ils veulent s'attaquer aux serveurs et clairement vont encourager l'espionnage industriel.
Et là c'est grave.
Ca va mener à une course aux armement des entreprises dans un premier temps
Et eux ils se feront un plaisir de vendre des armes numériques à tout le monde
Et on se retrouvera dans une jungle où tout sera permis, voler les fichiers clients, détruire le SI du concurrent gênant , mettre le si hors service...
Dans une guerre c'est celui qui vend des armes aux belligérants, qui gagnent le plus de la guerrele 12/02/2018 à 22:20 -
ParseCoderMembre avertiCa devrai être illégal de faire des choses pareilles.le 11/02/2018 à 19:52
-
abriotdeMembre chevronnéC'est incroyable que ce genre de choses puisse légalement existerle 12/02/2018 à 14:08
-
hotcryxMembre extrêmement actifle 12/02/2018 à 16:02
-
NbMembre avertiEt bien moi ca me pose un problème que ça soit légal. Car tu donnes un pouvoir immense à une bande de gars dont tu ne sais presque rien. Et effectivement, tu as raison, ils peuvent magouiller avec des etats qui n'ont pas plus de morales qu'eux, mais aussi favoriser l'espionnage industriel, donner des moyens d'actions à des fanatiques...etc.
C'est pas nouveau, on laisse faire ca un peu partout. Mais la différence c'est que souvent ca arrive à des boites qui a un moment ont contribué à faire énormément avancer un domaine (ce qui ne les rend pas moins dangereuses) et donc l'argent et le pouvoir qu'elles concentrent s'inscrivent dans une certaine logique (c'est pas pour ça qu'il ne faut rien faire).
Eux dès le depart on sait qu'on a affaire à des parasites qui ont juste trouver comment gagner de l'argent sans rien faire et au détriment de tout ce qui n'est pas eux : les utilisateurs, les etats, les autres entreprises, les mecs qui développent du libre...etc.
Soit cette boite est une émanation de l’état américain et c'est dangereux, soit elle ne l'est pas et c'est tout aussi dangereux. Du coup, selon moi, ça ne devrait pas pouvoir exister légalement.le 12/02/2018 à 16:53 -
micka132Expert confirméJe vois pas ce qui pourrait être illégale sur des produits open source.
Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.
Sur le business model, c'est le principe de l'intermédiaire.le 12/02/2018 à 19:27 -
RyzenOCInactifet rien n’empêche les entreprises éditrice ou les communautés open source de payer pour avoir ces failles afin de les corriger par la suite.Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.le 12/02/2018 à 20:46 -
NbMembre avertiJe vois pas ce qui pourrait être illégale sur des produits open source.
Autant sur du propriétaire il y a souvent des clauses visant à ne pas faire de rétro-ingéniérie et à fortiori du hacking, mais alors pour l'open source c'est le principe même.
Faire de l'argent avec l'utilisation du code source n'est pas interdit.le 12/02/2018 à 22:48