L’entreprise spécialisée dans la recherche de vulnérabilité de pointe et de la cyberdéfense active Zerodium vient d’annoncer qu’elle offre 1,5 million de dollars à toute personne qui lui apporterait une faille exploitable dans IOS 10. Il y’a juste un an Zerodium, la société avait fait la même proposition avec IOS 9. À l’époque, elle avait mis comme gain 1 million de dollars qui seront octroyés dès novembre. Cette fois-ci Zerodium très active dans le commerce de faille 0-day déclare que la récompense est permanente.


La sécurité a un prix !    

Juste un an jour pour jour l’expert en cybersécurité Zerodium  proposait 1 million juste pour trouver un défaut dans l’IOS 9, la voilà aujourd’hui augmenter cette prime d’un demi-million et claquer 1,5 million de dollars rien que pour une faille. Mais si Zerodium a élevé le prix, elle y a ajouté une condition que cette faille soit exploitable pour une prime permanente.

Cette somme que l'entreprise est prête à donner démontre combien la cybersécurité est importante au sein des entreprises. Zerodium est connu dans ce milieu en mettant toujours en jeu une somme qui en vaut la peine ce qui lui permet d’avoir le maximum de failles 0-day qui seront ensuite rétrocédés aux plus offrants. Un marché gris qui se passe toujours loin de nos radars, mais qui paye bien.
 

Le commerce des failles, un secteur sensible

Le marché de la vente des failles même s’il rapporte beaucoup pour les acteurs qui y sont très actifs soulève quelques réserves pour l’opinion publique. D’abord, la première interrogation soulevée par le marché gris est l’identification des acteurs tapis dans l’ombre. Si l’on peut savoir le mandataire, l’identification de l’acheteur d’une éventuelle faille n’est jamais révélée.

Ensuite, pour beaucoup d’analystes la destinée de ces déficits de fabrication reste inconnue même s’il arrivait que l’on sache qui sont les acheteurs, ce qu’ils en feront reste encore vague. Enfin, une faille doit être déclarée au niveau de son éditeur pour qu’il la corrige. Mais, ce n’est pas ce qui se passe réellement au niveau du marché gris où la brèche peut tomber sur n’importe quelle entité.
 

Le marché gris, un casse-tête pour les éditeurs

Suite à la croissance prise par la collecte des failles 0-day, les éditeurs n’ont pas tardé à réagir pour combattre ce phénomène qui peut mettre à nu leur travail. Ainsi, ils ont mis des programmes de lutte contre ce fait par le biais des bugs bounties ou la chasse aux bugs rémunérés comme l’a fait dernièrement Apple.

Comme avec la prime de Zerodium la marque à la pomme y est allée fort en lançant  des primes qui atteignent les 200000 dollars, un record au sein des éditeurs. Cependant, si l’on compare les 200000 dollars d’Apple aux 1,5 million de Zerodium l’on peut deviner qu’il sera difficile pour les concepteurs de contrer le marché gris surtout face à une société où la recherche du profit est de plus en plus mise au-devant aux dépens de la déontologie.