En 2015, l’entreprise Zerodium fondée par l’homme d’affaires français Chaouki Bekrar annonçait qu’elle verserait 1 million de dollars à qui lui fournirait discrètement les moyens de contrôler à distance un iPhone sous iOS 9, ce qu’elle a obtenu quelques semaines plus tard. La startup s’est donnée pour mission de servir d’intermédiaire entre les hackers qui découvrent des failles de sécurité exploitables, et les services de renseignement ou entreprises qui pourraient être intéressées pour les connaître. Bekrar connaît les potentiels clients grâce au carnet d’adresses qu’il s’est fait avec Vupen, et achète les solutions qu’il sait pouvoir revendre.
Un an plus tard, et même si Zerodium est fortement soupçonné d’avoir contribué à permettre l’espionnage de dissidents aux Émirats Arabes Unis, l’entreprise remet ça. Avec une prime plus importante encore.
La startup annonce sur son site internet qu’elle est prête à mettre 1,5 millions de dollars sur la table pour acheter une faille qui permettrait de jailbreaker à distance un iPhone sous iOS 10, sans que la victime s’en aperçoive. Une fois exploitée, une telle faille permet d’installer discrètement des spywares qui enregistrent l’activité de l’utilisateur, activent le micro, envoient des copies des carnets d’adresses et autres SMS reçus, etc.
La faille pour le nouveau système d’Apple est de loin la plus recherchée puisque Zerodium n’offre que 200 000 dollars pour le même type de technique sur Android 7 « Nougat », preuve que le marché du Renseignement est beaucoup moins demandeur — probablement parce que le système est encore très rare sur les téléphones Android alors qu’Apple déploie très vite ses mises à jour sur une partie importante des iPhone.
« Alors que la plupart des programmes de bug bounty acceptent pratiquement tous types de vulnérabilités et des PoCs (proof-of concepts) mais payent des primes moins importantes, chez Zerodium nous nous concentrons sur des vulnérabilités de haut-risque avec des exploits pleinement fonctionnels, et nous payons les récompenses les plus élevées du marché », indique le site de la société.
Mais l’entreprise dispose également de sa propre équipe de recherche en interne, et recrute actuellement des hackers spécialisés dans les découvertes de failles sur les navigateurs Web, les noyaux des systèmes d’exploitation, et sur les mobiles.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
