Les entreprises qui achètent et vendent des exploits ou zéro-days augmentent les prix pour les vulnérabilités mobiles
Signalées par les hackeurs

Le , par Stan Adkens

88PARTAGES

13  0 
Les primes payées aux chercheurs pour des exploits ou les zéro-days ont presque toutes augmenté, en particulier pour les exploits d’iPhone et des applications de messagerie sécurisée. Selon un article de Motherbaord publié lundi, les entreprises qui achètent et vendent des exploits ou zero-days, proposent maintenant des primes de sept chiffres pour les piratages qui permettent aux espions des gouvernements et aux organismes d'application de la loi d’intercepter des messages WhatsApp, iMessage et autres applications de chat. En effet, lorsque ces entités citées plus haut ont besoin d’aide pour entrer en possession des communications d'un terroriste ou d'un criminel à l'aide d'applications comme WhatsApp ou iMessage, elles ont recours aux hackeurs qu’elles paient à prix d’or.

Lundi, Zerodium, le leader des courtiers du marché des exploits, a annoncé des hausses de prix pour presque toutes les vulnérabilités qu'il recherche, concernant les systèmes d’exploitation mobile et Windows. Zerodium a déclaré qu’il pourrait offrir jusqu'à 2 millions de dollars pour des exploits zero-clic d'iOS d'Apple, 1,5 million de dollars pour des exploits un-clic d'iOS et 1 million de dollars pour des exploits concernant les applications de messagerie sécurisées WhatsApp et iMessage. Auparavant, ces mêmes types exploits coûtaient respectivement à Zerodium, 1,5 million de dollars, 1 million de dollars et 500 000 dollars.

« Les applications de messagerie en général et WhatsApp en particulier sont parfois les seuls canaux de communication utilisés par les cibles et le chiffrement de bout en bout rend difficile pour nos clients gouvernementaux d'intercepter de telles communications », a déclaré Chaouki Bekrar, fondateur de Zerodium, dans un chat en ligne. « Avoir la possibilité de compromettre à distance ces applications directement sans compromettre l'ensemble du téléphone est donc beaucoup plus stratégique et efficace. »


L’augmentation des prix des exploits est un signe que les gouvernements et les forces de police du monde entier ont davantage besoin d’avoir accès aux logiciels de messagerie qui deviennent eux aussi de plus en plus difficiles à compromettre, selon Motherboard. Par exemple, dans le cadre des enquêtes du FBI qui ont suivi les attaques de San Bernardino en Californie en décembre 2016, la police fédérale a mis la main sur le téléphone d'un des deux terroristes à l’origine de l’attentat. Mais elle a été incapable au départ d'accéder à son contenu car, non seulement, le téléphone était protégé par un chiffrement intégré au système d'exploitation d'Apple, mais également, les communications que le FBI recherchait avaient été faites dans Whatsapp, une application qui utilise un type de chiffrement de bout en bout conçu de telle manière que la clé n’est connue que des propriétaires des téléphones. Bien que le téléphone fût en possession du FBI, il aurait eu recours à des hackers professionnels pour débloquer l’iPhone du terroriste.

Le versement de primes de bogues est une pratique que les entreprises utilisent également pour apporter une certaine sécurité dans leurs différents logiciels informatiques. Facebook a eu recours à cette pratique pour récompenser les chasseurs et il proposait, en 2011, 500 dollars pour chaque vulnérabilité XSS, CSRF et par injection de code découverte.

Selon Motherboard, compromettre l'iPhone tout entier pourrait coûter plus cher – 2 millions de dollars et plus. C’est qui est appelé jailbreaking à distance sur le marché d’exploits et qui implique généralement une série de bogues et d'exploits.

Toutefois, les types d'exploits recherchés par Zerodium sont ceux qui compromettent de manière fiable l'appareil ou l'application ciblée sans aucune notification aux utilisateurs. Ce sont ces types d’exploits que préfèrent la police et les espions intervenant pour le compte des pays du monde entier pour intercepter les messages de criminels, de terroristes et d'autres cibles et pour surveiller en temps réel leurs allées et venues et leurs activités en ligne.

Zerodium, n’est pas la seule société qui aide les espions et les force de police à fouiner dans les appareils des cibles des gouvernements. D’autres entreprises similaires, comme Azimuth et Crowdfense servent d'intermédiaires entre les chercheurs en sécurité et les organismes gouvernementaux à la recherche des vulnérabilités pour atteindre leurs cibles, lorsque les gouvernements rencontrent des difficultés à passer la sécurité des systèmes d’exploitation et des applications de messagerie.

Les nouveaux prix ont été annoncés ce lundi par Zerodium pour tous leurs produits afin d’encourager les chercheurs en sécurité informatique à doubler d’efforts dans la découverte d’exploits dans un contexte des systèmes d’exploitation et des applications qui deviennent de plus en plus difficiles à pirater.


Selon Maor Shwartz, directeur d’une autre société qui a déjà acquis et vendu des exploits à des agences gouvernementales, ces nouveaux prix sont alignés avec le marché. Les exploits des applications de messagerie telles que WhatsApp et Signal, qui sont cryptées de bout en bout et qui rendent donc difficile l'interception de messages par des pirates ou des espions, peut coûter 1 million de dollars, voire jusqu'à 4 millions, selon les circonstances et l'urgence avec laquelle le gouvernement doit pirater leur cible, a déclaré M. Shwartz dans une interview accordée à Motherboard.

Mais, malgré ces difficultés croissantes rendant difficile l’exploitation et le piratage certains des systèmes d'exploitation et applications de messagerie, ils continuent de présenter des bogues, a averti M. Bekrar. « L'exploitation est plus difficile, elle prend plus de temps, mais davantage de chercheurs se penchent sur ces cibles et notre objectif, en augmentant nos prix, est de poursuivre sur cette lancée et d'encourager les chercheurs à continuer de chercher des exploits », a déclaré Bekrar. « Je suis dans l'industrie du zéro-day depuis plus de 15 ans et je n'ai jamais vu autant d'exploits qu'en 2018 », a-t-il ajouté. « Vous ne pouvez pas imaginer ce qui est développé et vendu ».

Source : Motherboard

Et vous ?

Qu’en pensez-vous ?
Quelle est votre opinion sur le fait de fournir des exploits aux gouvernements afin d’intercepter des communications des cibles ?

Lire aussi

Le FBI aurait eu recours à des hackers professionnels, pour débloquer l'iPhone du terroriste de l'attaque de San Bernadino
Apple serait en train de travailler sur de nouvelles mesures de sécurité, pour rendre plus difficile d'accéder au contenu d'un iPhone verrouillé
Le FBI aurait pu déverrouiller l'iPhone de San Bernardino pour moins de 100 dollars, au lieu de débourser 1,3 million de dollars à des hackers
L'UE veut lancer, dès janvier 2019, une chasse aux bogues dans les logiciels libres à code source ouvert, pour renforcer la sécurité sur Internet
Un chercheur pirate le niveau de sécurité L3 de l'outil DRM gratuit de Google, qu'utilisent plusieurs fournisseurs de services de streaming

Une erreur dans cette actualité ? Signalez-le nous !


 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web