Agissant dans un domaine controversé, Zerodium continue d'afficher à la vue de tous sa grille tarifaire pour l'achat d'exploits 0day critiques qui seront communiqués à ses clients. Des applications mobiles de messagerie sécurisée font leur entrée.
Plateforme premium pour l'achat d'exploits 0day fonctionnels et se concentrant sur les vulnérabilités les plus critiques, Zerodium a mis à jour sa grille tarifaire et introduit notamment des applications de messagerie sécurisée sur mobile.
Pour ces messageries dites sécurisées, c'est au minimum le chiffrement des données en transit. En l'occurrence, WeChat, Viber, Facebook Messenger, Signal, Telegram, WhatsApp ou encore iMessage.
Une exécution de code à distance et une élévation de privilèges en local peuvent faire l'objet d'une transaction à hauteur de 500.000 $, dans la mesure où ce sont des vulnérabilités inconnues et ne disposant pas de correctifs idoines.
Zerodium, qui mise sur la qualité des exploits et non la quantité, revendique des sociétés dans le secteur de la défense, technologie et de la finance parmi ses clients, et ayant un besoin d'une " protection 0day avancée. " Également, des agences gouvernementales pour des " capacités de cybersécurité précises et adaptées. " Probablement la traque de criminels et terroristes, mais des 0day qui ne seront pas portés à la connaissance des éditeurs affectés…
Dans la refonte de sa grille tarifaire, Zerodium a aussi introduit 300.000 $ pour des exploits d'exécution de code à distance touchant Windows 10. Le bug bounty de Microsoft peut aller se rhabiller. En particulier, des 0day ciblant des services comme SMB ou RDP. Le cas de la propagation du ransomware WannaCry a-t-il donné des idées ?
Prenant le relais du défunt VUPEN basé à Montpellier, l'Américain Zerodium du même fondateur Chaouki Bekrar s'est fait connaître en 2015, et a été le premier acteur du genre à publier à la vue de tous une grille tarifaire pour des exploits 0day à acheter. Le haut du panier reste pour iOS avec 1,5 million de dollars pour un jailbreak à distance persistant et ne nécessitant pas d'interaction de l'utilisateur (sans cliquer sur un lien ou en ouvrant un fichier).
Source : Generation-nt.com
Information complémentaire :
Crashdebug.fr : Shadow Brokers : 24.000 dollars par mois pour des outils de la NSA, un vrai problème éthique
