500 000 dollars pour des exploits sur des applications mobiles grand public

Par:
fredericmazue

ven, 25/08/2017 - 15:48

500 000 dollars... une belle prime. Elle est offerte par la société Zerodium pour des exploits d'applications mobiles grand public, telles que Facebook Messenger, Signal, Telegram, WhatsApp, WeChat, iMessage, ainsi que applications email. Ces primes s'ajoutent à celles déjà offertes par la société, les montants allant jusqu'à 1 500 000 dollars pour un hack de iOS.

En ce qui concerne les applications mobiles, il s'agit d'exploiter des vulnérabilités zero day afin de pouvoir exécuter du code à distance qui à son tour permettra une élévation de privilèges.

Avant de dégainer son plus beau clavier et de se mettre au travail, il est bon de se rappeler que Zerodium n'est pas une entreprise philanthropique. Les failles correspondant aux exloits achetés par la société ne seront pas communiquées pour que les vulnérabilités soient ensuite comblées. Zerodium est une sociéré fondée par Chaoui Bekrar, qui est également le fondateur de la société française Vupen. Une société plutôt efficace dans le domaine des failles informatiques. Notamment, Vupen s'est illustré régulièrement au concours de hacking Pwn2Own où elle y a mis à mal navigateurs et systèmes d'exploitation. Vupen a été une société controversée, car elle aurait été liée par contrat avec la NSA pendant au moins un an. 

Zerodium, quant à elle,  vend à des agences gouvernementales les exploits dont elle dispose, et ne s'en cache pas. C'est son activité. Mais elle assure ne vendre qu'aux pays démocratiques et de confiance.

Il se murmure toutefois que Zerodium aurait revendu un exploit iOS 9 (récompensé un million de dollars) à des pays des émirats arabes qui souhaitaient espionner des dissidents politiques.