C’est la société Zerodium, spécialiste dans l’acquisition de failles, qui fait cette offre faramineuse sur le système mobile d’Apple. Android est aussi dans le coup.
Si Apple a un programme de chasse aux bugs (bug bounty) qui n’est encore qu’en développement et sur invitations seulement, des sociétés se sont fait les spécialistes de l’achat de découverte de failles dans les systèmes d’exploitation et certaines applications afin de les revendre. Et Zerodium est une de ces sociétés.
Jusqu’à 1,5 million de dollars
Et avec l’arrivée d’iOS 10 et d’Android Nougat 7.0, Zerodium vient de revoir à la hausse sa grille d’achat. Et donc, la prime la plus élevée concerne iOS 10 et la découverte d’une faille 0 day (donc non connue) et, bien évidemment, exploitable. Et pour ce type de faille, Zerodium est passé de 500 000 dollars à 1,5 million de dollars. Proposer une telle somme à une explication que précise Chaouki Bekra, le fondateur de Zerodium : la sécurité du système est meilleure que les autres ce qui fait que les failles sont plus rares et donc plus chères. À titre de comparaison, le même type de faille pour Android 7.0 « ne rapporte que » 200 000 dollars, mais cela a tout de même été revu à la hausse avec 100 000 dollars auparavant.
Voici d’ailleurs un tableau explicatif sur les systèmes visés par les failles et le niveau de paiement :
Après, pour rentabiliser son achat et faire tourner son business, Zerodium revend la faille. Et la question c’est : à qui ? Là, aucune information de la part de Zerodium. Cela peut-être les éditeurs des systèmes visés eux-mêmes, des organisations gouvernementales comme le FBI ou des personnes/organisations nettement moins plaisantes cherchant à percer la sécurité de systèmes pour différentes raisons (piratage, espionnage, etc.). Mais vu les primes proposées par Zerodium, on peut penser que ce marché se porte bien.
