Il y a encore 1 an, Zerodium, proposait 500 000 dollars pour une zero day dans iOS 9 avant de faire monter les enchères à 1,5 million de dollars pour un exploit sur iOS 10 d’Apple. Aujourd’hui, le broker de failles critiques fait évoluer son programme de récompenses en ciblant notamment les messageries mobiles.
Dans un communiqué publié hier, la société a indiqué que désormais, elle paierait jusqu’à un demi million de dollars pour des exploits fonctionnels (prise de contrôle à distance et élévation de privilèges) sur : WeChat, Viber, Facebook Messenger, WhatsApp, Telegram, Signal et iMessage. Ce niveau de rémunération parmi les plus élevées du programme accompagne la montée en puissance des usages des messageries mobiles et l’intérêt pour les Etats ou les cybercriminels de s’attaquer à ces services. Zerodium justifie le montant de la récompense, par le fait que « la majorité des bug bounty (programme de recherche de bug) récompense mal la découverte de vulnérabilités ou la création de POC (prototype, NDLR)».
Dans un entretien à nos confrères de ThreatPost, Chaouki Bekrar, fondateur de Zerodium, explique que les autorités gouvernementales sont à la recherche de zero day dans les solutions de messageries pour surveiller et analyser les échanges entre les criminels ou les terroristes. Lors des attentats en France et dans d’autres pays, la police et les services de renseignements se sont plaints de ne pouvoir avoir accès aux messageries sécurisées de type Signal ou Telegram. La CIA s’est cassée les dents sur le chiffrement de bout en bout de WhatsApp, Signal ou Telegram. Peut-être qu’avec une prime de 500 000 dollars, les hackers vont porter leur attention sur ces messageries sécurisées.
Des failles avaient été découvertes dans Signal utilisables dans le cadre d’une attaque de type Man in the Middle (MITM). Il est possible que dans quelques mois, Zerodium remonte le prix des récompenses sur des zero days liées à ces messageries pour atteindre le million de dollars.
A lire aussi :
Vente de zero days : une petite entreprise qui ne connaît pas la crise
Zero day Microsoft Word : l’auberge espagnole pour hackers d’Etat et cybercriminels
Les performances évolutives et les mécanismes de protection de la donnée offrent aux 335 médecins…
Salesforce a entrepris un benchmark des LLM sur des cas d'usage CRM. Comment l'a-t-il orchestré…
Kyutai a officialisé son IA vocale Moshi et en a ouvert une démo au public.…
Une API sans authentification a permis à des tiers de valider les numéros de téléphone…
D'AgentJ à YesWiki, voici les dernières entrées au SILL (Socle interministériel de logiciels libres).
En parallèle de diverses expérimentations, Microsoft livre une première version de WSL2 basée sur Linux…