Les prix des failles de sécurité s’envolent. Un jailbreak à distance d’iOS vaut désormais 2 millions de dollars. Pirater WhatsApp ou iMessage rapporte un million de dollars. Le marché du zero-day est en plein boom.
Le marché des failles de sécurité est en pleine forme. Zerodium, le broker le plus connu en la matière, vient de publier une nouvelle liste de prix d’achat. Un jailbreak d’iOS réalisé à distance et sans intervention de l’utilisateur (« zero click ») passe de 1,5 à 2 millions de dollars. Un piratage similaire avec intervention de l’utilisateur (« one click ») augmente aussi passant de 1 à 1,5 million de dollars.
Même le piratage d’une messagerie mobile comme WhatsApp ou iMessage permet désormais de devenir millionnaire. Zerodium double la mise pour ce type d’« exploit » avec un prix égal à un million de dollars. Toutes les autres catégories sont également en forte hausse, affichant un taux de croissance compris entre 60 et 150 %. La plus forte augmentation se situe au niveau du contournement de l’écran de verrouillage sur Android ou iOS. Auparavant, Zerodium donnait 15.000 dollars pour ce type de trouvaille. Désormais, c’est 100.000 dollars. Jackpot.
La demande augmente plus vite de l’offre
Cette inflation tarifaire reflète les demandes du marché. Le piratage des messageries mobiles intéresse de plus en plus les agences de renseignement, et cela partout dans le monde. Quant au contournement des écrans de verrouillage, c’est devenu un casse-tête pour les enquêteurs de police qui ont de beaucoup de mal à accéder aux données des smartphones perquisitionnés.
Inversement, les systèmes d’exploitation mobiles et les logiciels de messagerie sont de plus en plus sécurisés et, par conséquent, plus difficile à pirater. Pour créer un jailbreak à distance d’iOS, il faut désormais trouver et enchaîner parfois plus d’une dizaine de failles dans le système. Il est donc logique que les prix augmentent sensiblement, même si le nombre de chercheurs en sécurité augmente lui aussi.
Un marché qui connaît son âge d’or
« L’exploitation est plus difficile et prend plus de temps, mais il y a aussi plus de chercheurs qui se penchent sur ces objectifs. Notre but en augmentant nos prix est de préserver cette dynamique et d’encourager les chercheurs à trouver des exploits », explique Chaouki Bekrar, le patron de Zerodium, auprès de Motherboard, avant d’ajouter : « Ça fait 15 ans que je suis dans l’industrie du zero-day et je n’ai jamais vu autant d’exploits qu’en 2018. Vous ne pouvez pas vous imaginer ce qui peut être développé et vendu ». Des propos qui laissent songeur…