Est-il devenu plus coûteux de pirater des téléphones portables, qu’ils soient sous iOS ou Android ? Grâce aux avancées en termes de mécanismes et de mesures de sécurité, cela semble être le cas. En effet, comme TechCrunch l’a découvert, des techniques de piratage pour des applications telles que WhatsApp valent désormais plusieurs millions de dollars. Mais qu’est-ce qui explique une telle inflation ?
La semaine dernière, une entreprise russe qui achète des ‘zero-days’, des failles inconnues du développeur du logiciel affecté, a offert 20 millions de dollars pour des chaînes de bugs permettant de compromettre à distance des téléphones fonctionnant sous iOS et Android. Faut-il en déduire que la raréfaction des chercheurs prêts à travailler avec la Russie en raison de l’invasion de l’Ukraine, conjuguée à une probable volonté des clients gouvernementaux russes de payer un supplément dans le contexte actuel, fait grimper les prix ?
Néanmoins, même hors de Russie, et en se concentrant uniquement sur des bugs spécifiques à certaines applications, les prix ont augmenté. Des documents confidentiels consultés par TechCrunch montrent qu’en 2021, un ‘zero-day’ permettant de compromettre le WhatsApp d’une cible sur Android et de lire le contenu de ses messages pouvait coûter entre 1,7 et 8 millions de dollars. Est-ce à dire que le marché des failles de sécurité devient de plus en plus lucratif ?
« Les prix ont flambé », a déclaré un chercheur en sécurité qui a connaissance du marché, sous couvert d’anonymat.
WhatsApp a souvent été une cible privilégiée pour les pirates gouvernementaux, plus susceptibles d’utiliser des ‘zero-days’. En 2019, des chercheurs ont surpris des clients du controversé fabricant de logiciels espions NSO Group utilisant un ‘zero-day’ pour cibler les utilisateurs de WhatsApp. Peu après, WhatsApp a poursuivi le vendeur de technologie de surveillance israélien, l’accusant d’avoir facilité l’utilisation du ‘zero-day’ par ses clients contre plus de mille utilisateurs de WhatsApp.
En 2021, selon l’un des documents fuités, une entreprise vendait un « RCE zéro clic » dans WhatsApp pour environ 1,7 million de dollars. RCE, pour Remote Code Execution, est un jargon de cybersécurité pour désigner une faille qui permet à des pirates malveillants d’exécuter à distance du code sur le dispositif de la cible. En d’autres termes, dans WhatsApp, cela leur permet de surveiller, lire et exfiltrer des messages. L’expression « zéro clic » signifie que l’exploit ne nécessite aucune interaction de la part de la cible, ce qui le rend plus furtif et plus difficile à détecter.
Un porte-parole de WhatsApp, Zade Alsawah, a déclaré que l’entreprise ne souhaitait pas faire de commentaire. Mais qu’en disent d’autres experts ?
La valeur spécifique de cibler WhatsApp est que parfois, les pirates gouvernementaux – ceux travaillant pour les services de renseignement ou les agences d’application de la loi – ne s’intéressent qu’aux discussions d’une cible sur WhatsApp, et n’ont donc pas besoin de compromettre tout le téléphone. Mais une faille uniquement dans WhatsApp peut aussi faire partie d’une chaîne pour compromettre davantage le dispositif de la cible.
« Les acheteurs d’exploit s’intéressent aux exploits pour ce qu’ils permettent – espionner leurs cibles », a déclaré un chercheur en sécurité ayant connaissance du marché, qui a demandé à rester anonyme pour discuter de questions sensibles. « Si l’exploit qu’ils achètent ne leur donne pas tout ce qu’ils veulent, ils ont besoin d’acheter plusieurs pièces et de les combiner. »
Source : Techcrunch
