Une startup qui achète des exploits zero-day propose d’offrir jusqu’à 45 000 dollars de récompense pour ceux qui permettent de tirer avantage de vulnérabilités d’élévation de privilège (LPE) dans Linux. Des distributions populaires comme Ubuntu, Debian ou Fedora sont visées. Zerodium, l’entreprise dont il est question ici, a déjà eu à payer jusqu’à 1,5 million de dollars ; tout dépend de la sécurité de la plateforme visée ainsi que de la demande sur le marché. Il faut dire que l’entreprise fait uniquement l’acquisition d’exploits totalement fonctionnels suivant un processus bien défini.
Si le programme est bien connu de la communauté des hackers, il faut dire que ses produits, résultat du travail des chercheurs, demeurent en général secrets. Et pour cause, Zerodium, l’entreprise fondée en 2015 et basée à Washington, intercepte les chercheurs en premier grâce à des incitatifs financiers substantiels et revend les exploits à des agences gouvernementales intéressées par d’éventuelles failles dans des systèmes en leur possession. Les failles LPE sont particulièrement prisées dans des contextes comme ceux-ci puisqu’elles permettent à un attaquant d’accéder à des zones d’un système en principe prohibées.
Zerodium procède en réalité à une revue à la hausse de la récompense de son programme de bug bounty pour des vulnérabilités zero-day dans Linux. Jusqu’ici, la barre était élevée à 30 000 dollars, ce qui suggère une augmentation de la demande d’exploits de ce type dans son carnet client. L’offre arrive avec une date d’expiration fixée au 31 mars 2018.
L’an dernier, la startup avait mis jusqu’à 1 million de dollars sur la table pour récompenser des exploits contre la plateforme Tor. L’offre a expiré en décembre dernier et s’étalait sur trois mois. D’habitude, l’entreprise met jusqu’à 100 000 dollars de récompense pour des failles dans la plateforme d’anonymisation. En 2017, Anglais et Américains se sont fait entendre à plusieurs reprises pour appeler à la mise en place de portes dérobées à l’usage exclusif des forces de l’ordre. Zerodium en avait alors profité pour attirer les chercheurs en sécurité avec une offre allant jusqu’à 500 000 dollars pour des failles dans des applications de messagerie populaires comme iMessage, Telegram ou WhatsApp.
Les incitatifs financiers sont-ils suffisants pour vous amener à envisager une reconversion comme chercheur en sécurité ?
