
Lundi, Zerodium, le leader des courtiers du marché des exploits, a annoncé des hausses de prix pour presque toutes les vulnérabilités qu'il recherche, concernant les systèmes d’exploitation mobile et Windows. Zerodium a déclaré qu’il pourrait offrir jusqu'à 2 millions de dollars pour des exploits zero-clic d'iOS d'Apple, 1,5 million de dollars pour des exploits un-clic d'iOS et 1 million de dollars pour des exploits concernant les applications de messagerie sécurisées WhatsApp et iMessage. Auparavant, ces mêmes types exploits coûtaient respectivement à Zerodium, 1,5 million de dollars, 1 million de dollars et 500 000 dollars.
« Les applications de messagerie en général et WhatsApp en particulier sont parfois les seuls canaux de communication utilisés par les cibles et le chiffrement de bout en bout rend difficile pour nos clients gouvernementaux d'intercepter de telles communications », a déclaré Chaouki Bekrar, fondateur de Zerodium, dans un chat en ligne. « Avoir la possibilité de compromettre à distance ces applications directement sans compromettre l'ensemble du téléphone est donc beaucoup plus stratégique et efficace. »
L’augmentation des prix des exploits est un signe que les gouvernements et les forces de police du monde entier ont davantage besoin d’avoir accès aux logiciels de messagerie qui deviennent eux aussi de plus en plus difficiles à compromettre, selon Motherboard. Par exemple, dans le cadre des enquêtes du FBI qui ont suivi les attaques de San Bernardino en Californie en décembre 2016, la police fédérale a mis la main sur le téléphone d'un des deux terroristes à l’origine de l’attentat. Mais elle a été incapable au départ d'accéder à son contenu car, non seulement, le téléphone était protégé par un chiffrement intégré au système d'exploitation d'Apple, mais également, les communications que le FBI recherchait avaient été faites dans Whatsapp, une application qui utilise un type de chiffrement de bout en bout conçu de telle manière que la clé n’est connue que des propriétaires des téléphones. Bien que le téléphone fût en possession du FBI, il aurait eu recours à des hackers professionnels pour débloquer l’iPhone du terroriste.
Le versement de primes de bogues est une pratique que les entreprises utilisent également pour apporter une certaine sécurité dans leurs différents logiciels informatiques. Facebook a eu recours à cette pratique pour récompenser les chasseurs et il proposait, en 2011, 500 dollars pour chaque vulnérabilité XSS, CSRF et par injection de code découverte.
Selon Motherboard, compromettre l'iPhone tout entier pourrait coûter plus cher – 2 millions de dollars et plus. C’est qui est appelé jailbreaking à distance sur le marché d’exploits et qui implique généralement une série de bogues et d'exploits.
Toutefois, les types d'exploits recherchés par Zerodium sont ceux qui compromettent de manière fiable l'appareil ou l'application ciblée sans aucune notification aux utilisateurs. Ce sont ces types d’exploits que préfèrent la police et les espions intervenant pour le compte des pays du monde entier pour intercepter les messages de criminels, de terroristes et d'autres cibles et pour surveiller en temps réel leurs allées et venues et leurs activités en ligne.
Zerodium, n’est pas la seule société qui aide les espions et les force de police à fouiner dans les appareils des cibles des gouvernements. D’autres entreprises similaires, comme Azimuth et Crowdfense servent d'intermédiaires entre les chercheurs en sécurité et les organismes gouvernementaux à la recherche des vulnérabilités pour atteindre leurs cibles, lorsque les gouvernements rencontrent des difficultés à passer la sécurité des systèmes d’exploitation et des applications de messagerie.
Les nouveaux prix ont été annoncés ce lundi par Zerodium pour tous leurs produits afin d’encourager les chercheurs en sécurité informatique à doubler d’efforts dans la découverte d’exploits dans un contexte des systèmes d’exploitation et des applications qui deviennent de plus en plus difficiles à pirater.
Selon Maor Shwartz, directeur d’une autre société qui a déjà acquis et vendu des exploits à des agences gouvernementales, ces nouveaux prix sont alignés avec le marché. Les exploits des applications de messagerie telles que WhatsApp et Signal, qui sont cryptées de bout en bout et qui rendent donc difficile l'interception de messages par des pirates ou des espions, peut coûter 1 million de dollars, voire jusqu'à 4 millions, selon les circonstances et l'urgence avec laquelle le gouvernement doit pirater leur cible, a déclaré M. Shwartz dans une interview accordée à Motherboard.
Mais, malgré ces difficultés croissantes rendant difficile l’exploitation et le piratage certains des systèmes d'exploitation et applications de messagerie, ils continuent de présenter des bogues, a averti M. Bekrar. « L'exploitation est plus difficile, elle prend plus de temps, mais davantage de chercheurs se penchent sur ces cibles et notre objectif, en augmentant nos prix, est de poursuivre sur cette lancée et d'encourager les chercheurs à continuer de chercher des exploits », a déclaré Bekrar. « Je suis dans l'industrie du zéro-day depuis plus de 15 ans et je n'ai jamais vu autant d'exploits qu'en 2018 », a-t-il ajouté. « Vous ne pouvez pas imaginer ce qui est développé et vendu ».
Source : Motherboard
Et vous ?


Lire aussi




