La société Zerodium vient de monter substantiellement les enchères pour son bug bounty lancé avec iOS 9. Le hacker habile qui saura hacker à distance un appareil sous iOS 10, sans interaction de l'utilisateur, sera récompensé par une prime de 1,5 millions de dollars, contre 1 million de dollars précédemment.

Les enchères montent, car les OS de smartphones mobiles, Android et iOS sont de mieux en mieux sécurisés, comme le précise Zerodium. Aux yeux de la société, iOS 10 avec son architecture de cloisonnement est beaucoup plus coriace qu'Android, c'est pourquoi, pour un hack de ce dernier, la prime n'est que 200 000 dollars.

1,5 millions de dollars, c'est beaucoup en comparaison des 200 000 dollars du bug bounty officiel d'Apple, lancé en août dernier.

"Alors que la plupart des programmes de bug bounty acceptent pratiquement tous types de vulnérabilités et des PoCs (proof-of concepts) mais payent des primes moins importantes, chez Zerodium nous nous concentrons sur des vulnérabilités de haut-risque avec des exploits pleinement fonctionnels, et nous payons les récompenses les plus élevées du marché", précise Zerodium.

Quand on connaît la puissance financière actuelle d'Apple, on peut se demander pourquoi la firme à la pomme ne récompense pas davantage, et comment Zerodium peut, de son côté, offrir de telles récompenses.

Il faut savoir qu'avec Zerodium, les failles détectées ne seront pas communiquées à Apple pour que les vulnérabilités soient ensuite comblées. Zerodium est une sociéré fondée par Chaoui Bekrar, qui est également le fondateur de la société française Vupen. Une société plutôt efficace dans le domaine des failles informatiques. Notamment, Vupen s'illustre régulièrement au concours de hacking Pwn2Own où elle y met à mal navigateurs et systèmes d'exploitation. Vupen a été une société controversée, car elle aurait été liée par contrat avec la NSA pendant au moins un an. 

Zerodium vend à des agences gouvernementales les exploits dont elle dispose. et ne s'en cache pas. C'est son activité. Mais elle assure ne vendre qu'aux pays démocratiques et de confiance.

Il se murmure toutefois que Zerodium aurait revendu un exploit iOS 9 (récompensé un million de dollars) à des pays des émirats arabes qui souhaitaient espionner des dissidents politiques.