Zerodium, qui avait déjà acquis pour 1 million de dollars une faille de sécurité sur iOS 9 suspectée d’avoir facilité l’espionnage de dissidents politiques, propose désormais 1,5 millions de dollars à qui lui fournira le moyen de prendre à distance le contrôle d’un iPhone sous iOS 10.
La société Zerodium fondée par l’homme d’affaires français Chaouki Bekrar (étroitement lié à Vupen) est désormais largement connue pour ces achats sensibles. La startup avait déjà mis la main sur une faille iOS 9 pour 1 million de dollars l’année dernière ainsi qu’une vulnérabilité 0-Day Flash Player pour 100 000 dollars. Et voila qu’un nouvel appel d’offre a été publié sur le marché : 1,5 millions de dollars seront versés à celui qui leur fournira une vulnérabilité iOS 10 permettant d’espionner un appareil à distance.
La prime pour se jailbreak silencieux à distance atteint donc un nouveau sommet. Et pour cause, alors qu’iOS 10 vient à peine de sortir, une telle vulnérabilité permettrait à un attaquant une exploitation complète de n’importe quel iPhone, y compris l’installation silencieuse de spywares, de chevaux de Troie, de keyloggers, afin d’espionner totalement la cible : activation du micro, envoi du carnet d’adresses et des SMS reçus, etc.
Notons que cette potentielle vulnérabilité de iOS a beaucoup plus de valeur que son homologue Android 7 Nougat : seuls 200 000 dollars sont offerts par Zerodium. Preuve en est que le système d’Apple est beaucoup plus visé par l’espionnage.
« Alors que la plupart des programmes de bug bounty acceptent pratiquement tous types de vulnérabilités et des PoCs (proof-of concepts) mais payent des primes moins importantes, chez Zerodium nous nous concentrons sur des vulnérabilités de haut-risque avec des exploits pleinement fonctionnels, et nous payons les récompenses les plus élevées du marché », indique le site de la société.
Source : Numerama
Les commentaires sont fermés.