La société Zerodium, spécialisée dans le commerce de failles zero-day, revient avec un nouvel appel d'offre : un demi million de dollars à quiconque apportera sur un plateau une vulnérabilité inconnue dans les applis de messagerie WhatsApp et Signal.

Quel est le prix de votre vie privée ? 499 999 dollars, ça vous semble correct ? Parce qu'à vrai dire, elle pourrait être bientôt être vendue pour seulement un dollar de plus. L'entreprise Zerodium, spécialisée dans l'achat et la revente de vulnérabilités zero-day, vient de proposer la rondelette somme de 500 000 dollars à celui qui sera capable mettre au point les outils nécessaires au piratage des applications de messagerie cryptée Signal et WhatsApp. Déjà, en octobre 2016, elle avait proposé 1,5 millions de dollars pour une faille dans iOS 10.

VOIR AUSSI : Un enfant de 11 ans a hacké le Bluetooth d'experts en cybersécurité pour prendre le contrôle d'une peluche

Fondée par l’homme d’affaires français Chaouki Bekrar et basée à Washington DC, Zerodium offrira plus exactement ce pactole au professionnel qui parviendra à excuter à distance un code destiné à prendre le contrôle de ces applications réputées comme ultra-sécurisées. "Zerodium offre aux chercheurs en sécurité primes et récompenses pour acquérir les résultats de leurs recherches encore jamais divulgués sur les vulnérabilités zero-day, qui affectent les principaux systèmes d’exploitation, logiciels et appareils", explique l’entreprise sur son site.

"Alors que la plupart des bug bounty [des programmes proposés par de nombreux sites et développeurs aux personnes susceptibles de détecter bugs, exploits et vulnérabilités] délivrent de très maigres récompenses à la clé, nous, Zerodium, nous concentrons sur les vulnérabilités à haut risque avec des exploits entièrement fonctionnels, et proposons parmi les plus importantes rémunérations du marché." 

En réalité, la firme est prête à acheter au prix fort toutes techniques de hacking de haut vol, comme celles qui permettent par exemple de jailbreaker un iPhone – rémunérées jusqu'à 1,5 millions de dollars. Mais la somme de 500 000 dollars laisse déjà entendre à quel point les applications de messageries cryptées revêtent une importante toute particulière pour la mystérieuse base de clients de Zerodium.

zero.png
La liste des exploits Zero day recherchés.
ZERODIUM

Si l’entreprise protège précieusement les noms qui composent ce listing, un rapide tour sur son site suffit à nous fournir quelques pistes. "Les clients de Zerodium sont de grandes entreprises du secteur de la défense, des technologies et de la finance ainsi que des organisations gouvernementales ayant besoin de compétences spécifiques et de personnalisées en matière de cybersécurité", peut-on y lire.

Un terrain glissant

Difficile de ne pas éprouver d'inquiétude face à l'existence d'un tel service, dès lors que des vulnérabilités zero-day ont par le passé déjà été utilisées contre des journalistes et dissidents politiques. Pour mémoire, en 2016, une entreprise de surveillance elle aussi israélienne avait mis au jour des failles de sécurité sur iOS via un logiciel espion grâce auquel elle collectait messages, appels, contacts et photos présents sur les smartphones. Elle l’avait notamment utilisé pour surveiller Ahmed Mansoor, un activiste et défenseur des droits de l’homme émirati. Mashable US a de son côté contacté Zerodium pour en apprendre davantage sur ses clients, sans avoir obtenu de réponse à l’heure où nous publions cet article.

Que penser alors de cette offre de Zerodium ? Dans un sens, on peut y trouver quelque chose de rassurant : WhatsApp et Signal sont donc encore des applications si sécurisées que l'implantation de vulnérabilités Zero-day ne fait non seulement pas encore partie de l'arsenal de Zerodium, mais se négocie toujours à prix d'or… D'ici à ce que tout cela change, on continue à bien faire ses mises à jour, car, si elles ne garantissent pas encore une totale protection contre les malwares, elles restent encore le meilleur moyen de s'en prémunir.

– Retrouvez la version originale sur Mashable.

Quelque chose à ajouter ? Dites-le en commentaire.