Combien seriez-vous prêt à payer pour un outil de piratage de l’iPhone ou des appareils Android? Une entreprise spécialisée dans l’acquisition et la vente d’exploits de jour zéro, c’est-à-dire des failles logicielles encore inconnues de leurs développeurs respectifs, semble avoir une réponse claire : 20 millions de dollars.
Cette annonce étonnante est venue mercredi de la part d’Operation Zero. Cette entreprise basée en Russie et qui a vu le jour en 2021, a annoncé sur son compte Télégram et son compte officiel sur X, autrefois connu sous le nom de Twitter, qu’elle augmentait ses offres de primes pour les exploits de jour zéro sur ces plateformes, passant de 200.000 à 20 millions de dollars. Alors, qu’est-ce qui pousse cette entreprise à faire une telle offre?
Operation Zero convainc les développeurs avec des primes élevées et attire des clients exclusivement russes.
Operation Zero a un attrait particulier pour la Russie. En effet, elle affirme clairement sur son site officiel que ses clients ne sont que des organisations privées et gouvernementales russes. Mais pourquoi se limiter uniquement à des clients non membres de l’OTAN ? Le PDG, Sergey Zelenyuk, reste muet sur la question. « Aucune autre raison que celles qui sont évidentes », dit-il. Alors, qu’est ce qui rend ces outils particulièrement attractifs ?
Le prix de ces outils n’est pas seulement une question de nationalité du client, mais aussi de rareté du produit sur le marché du jour zéro. Comme l’explique Zelenyuk, les exploits qui permettent de contrôler les téléphones mobiles sont les produits les plus chers et sont principalement utilisés par les acteurs gouvernementaux. N’est-ce pas un risque pour la sécurité informatique mondiale ?
D’autres entreprises à travers le monde ont également été connues pour offrir des primes aux chercheurs en sécurité prêts à vendre les bugs et les techniques de piratage pour exploiter ces failles. Mais contrairement aux plateformes classiques de primes aux bugs comme Hacker One ou Bugcrowd, les entreprises comme Operation Zero ne préviennent pas les vendeurs dont les produits sont vulnérables, mais vendent ces exploits à des clients gouvernementaux. Cela n’est-il pas préoccupant ?
Malgré la nature grise de ce marché, où les prix fluctuent et l’identité des clients reste souvent secrète, il existe des listes de prix publiques, comme celle publiée par Operation Zero. Zerodium, une entreprise lancée en 2015, offre jusqu’à 2,5 millions de dollars pour une série de bugs permettant à ses clients de pirater un appareil Android sans aucune interaction de la part de la cible. Pour la même chaîne de bugs, Zerodium offre jusqu’à 2 millions de dollars, selon son site web.
Alors que les dispositifs mobiles modernes deviennent de plus en plus sécurisés, les hackers ont besoin d’une série de jours zéro pour compromettre et contrôler complètement un appareil ciblé. Crowdfense, un concurrent basé aux Émirats Arabes Unis, offre jusqu’à 3 millions de dollars pour le même type de chaîne de bugs sur Android et iOS.
Le marché des exploits de jour zéro est largement non réglementé. Mais dans certains pays, les entreprises peuvent avoir à obtenir des licences d’exportation du gouvernement. Cela peut créer un marché morcelé et de plus en plus affecté par la politique. Par exemple, une loi récemment adoptée en Chine oblige les chercheurs en sécurité à prévenir le gouvernement chinois des bugs avant qu’ils n’informent les fabricants de logiciels. Cela signifie-t-il une monopolisation du marché des exploits par la Chine à des fins de renseignement ?
Tout cela nous amène à une dernière question : l’absence de réglementation stricte peut-elle créer une concurrence dangereuse entre les pays pour l’acquisition d’outils de piratage de plus en plus sophistiqués?
Source : Techcrunch
