Zerodium frappe encore. Cette société propose 1,5 million de dollars à quiconque trouvera une faille permettant de déplomber à distance un iPhone sous iOS 10. L’an dernier, le broker avait mis à prix le même genre de vulnérabilité à 1 million de dollars, avant de réduire la prime à 500 000 $ (lire : Zerodium a son gagnant pour la faille d'iOS 9 à 1 million de dollars).
Ce triplement de la prime reflète non seulement la difficulté à débusquer une faille dans iOS 10, mais aussi l’appétit des gouvernements dont les agences de sécurité se montrent très friandes de brèches de sécurité. Ce sont d’ailleurs elles les premiers clients de Zerodium. La prime pour un accès root à Android double elle aussi, mais elle se limite, si l’on ose dire, à 200 000 $.
« Nous savons qu’iOS 10 et Android 7 sont tous deux plus difficiles à déplomber que leurs versions précédentes », explique le fondateur Chaouki Bekrar à ArsTechnica. Pourquoi une faille iOS rapporte-t-elle 7,5 fois plus qu’une vulnérabilité sous Android ? « Cela signifie qu’une faille sous iOS 10 est 7,5 fois plus difficile à trouver que sous Android, ou que la demande pour une faille iOS est 7,5 fois plus importante. La réalité, c’est que c’est un peu des deux ».
Ces chiffres paraissent démesurés quand on les compare aux propres chasses aux primes des éditeurs. Apple, qui vient de lancer son propre bug bounty, ne va pas au delà de 250 000 $ ; le constructeur est d’ailleurs en train de mettre en place sa dream team de hackers (lire : Apple reçoit la crème des hackers à l'aube du lancement de son bug bounty). Google paie un maximum de 38 000 $.
Il y a toutefois une différence entre ces programmes officiels, et les pratiques de Zerodium. Dans ce dernier cas, il faut que les « exploits » soient complets et qu’ils fonctionnent parfaitement (comme cela a été le cas pour la fameuse faille Pegasus) ; Apple et Google récompensent des trouvailles brutes de décoffrage, qui demandent moins de travail.
