Source: cnn.comDans le monde, il existe de nombreuses entreprises qui travaillent dans le domaine de la sécurité de l'information, mais comme dans la direction opposée. Ces organisations achètent des informations sur les méthodes de piratage pour les services et applications connus et peu nombreux, et achètent également des exploits.
L'une de ces organisations, Zerodium, a
annoncé une récompense d'un million de dollars pour ses outils de craquage WhatsApp et iMessage. Un montant similaire sera versé à ceux qui fournissent des exploits qui permettent d'accéder aux applications SMS / MMS des systèmes d'exploitation mobiles.
Et tout cela est dans un domaine juridique absolument légal. L'organisation travaille dans l'intérêt des services gouvernementaux du monde entier. «Les applications de messagerie, y compris WhatsApp, agissent parfois comme un canal de communication pour les attaquants, et le chiffrement rend difficile pour les services de sécurité d'obtenir les données nécessaires», a déclaré le fondateur de Zerodium, Chauki Bekrar. Il pense que la possibilité d'accéder à distance à diverses applications de ce type aide les agences de renseignement à travailler plus efficacement.
Il convient de noter que compromettre l'iPhone d'un attaquant pourrait coûter à l'État 2 millions de dollars ou plus.
Un prix aussi élevé indique que les gadgets sont vraiment mieux protégés. Ils sont plus difficiles à casser même par des spécialistes de haut niveau, et cela s'applique à la fois à iOS et à Android. La vie des services spéciaux est compliquée, car même si le téléphone tombait entre les mains de la police ou de l'agence de renseignement, il est loin d'être toujours possible d'en extraire des informations.
Jusqu'à aujourd'hui, Zerodium était prêt à payer un demi-million de dollars américains pour pirater WhatsApp et iMessage. Maintenant, le prix du problème est devenu plus élevé, apparemment, les services spéciaux du gouvernement sont prêts à payer plus pour la «solution du problème».
1 million de dollars n'est pas la limite. Les gouvernements sont prêts à payer plus, tout dépend de l'urgence de la tâche à accomplir et de l'ampleur du travail à faire. Naturellement, personne ne partagera d'informations avec les sociétés de messagerie en question. Ce n'est pas le cas. Les vulnérabilités sont achetées afin d'être utilisées indépendamment, en gardant des informations secrètes sur la possibilité de piratage.
Grâce à la grande récompense, les messagers de piratage peuvent traiter des équipes entières de spécialistes, plutôt que des solitaires, comme c'était le cas auparavant. Le chef de la startup Zerodium affirme qu'il existe désormais autant de «produits» dans «l'industrie du jour zéro» qu'ils ne l'ont jamais été auparavant. "Vous ne pouvez même pas imaginer ce qui est développé et vendu sur ce marché", explique Bekrar.
Il convient de noter que la récompense de Zerodium est beaucoup plus élevée que les «prix» des programmes de primes de nombreuses organisations. Ainsi, les développeurs qui ont trouvé une vulnérabilité particulière ne sont pas pressés de partager des informations sur leur découverte avec les développeurs de logiciels compromis. En conséquence, des situations drôles surviennent. Par exemple, Apple a lancé un programme de récompense pour les vulnérabilités trouvées en 2016. Mais on ne sait toujours pas si quelqu'un a reçu une récompense. En 2017,
il n'y avait pas de telles personnes .
Et qui veut partager ces données si Zerodium paie 2 millions de dollars pour un jailbreak iOS à distance? C'est 10 fois plus que celui d'Apple - dans le cadre du programme de primes, la société ne peut pas payer plus de 200 000 $, et le paiement peut même ne pas se produire du tout si les spécialistes de Cupertino n'aiment pas quelque chose. Il y a quelques mois à peine, Zerodium était prêt à payer 500 000 $ de moins qu'aujourd'hui - apparemment, les besoins des startups augmentent. Et non seulement les vulnérabilités pour iOS deviennent plus chères. Pour l'exploit Chrome RCE + LPE, le montant du paiement est de 500 000 $, ce qui est moins que dans le cas de la réception d'outils de piratage iOS, mais le montant est toujours très important.
Les clients de la startup étaient auparavant des unités gouvernementales telles que Equation Group (FiveEyes, Tilded Team) et Animal Farm (Snowglobe). L'entreprise est contactée par les spécialistes de la sécurité de l'information qui souhaitent obtenir plus que des entreprises dont les produits ont été piratés et qui n'ont aucune envie d'attendre quelques mois (examen des informations sur le piratage dans Apple, Facebook, Microsoft, etc.). Chez Zerodium, l'argent est payé dans la semaine suivant le début de l'examen des données sur l'outil proposé par le cracker.