Trouvez des failles de sécurité iPhone et devenez millionnaire
Apple se résigne ?
Un récent rapport de TechCrunch met en lumière un marché très fructueux pour ses acteurs. Il s’agit de la revente de failles informatiques à des startups spécialisées dans le domaine. Le principe est simple, vous avez trouvé une faille de sécurité iPhone ? Alors vous avez de l’or entre les mains.
Des entreprises comme Zerodium ou Crowdefense sont prêtes à payer des millions pour cela. Apple rémunère aussi les chasseurs de failles, mais pas autant que les entreprises spécialisées dans le domaine.
Les prix explosent
Le sujet de la revente des failles revient aujourd’hui sur la table, car Crowdefense vient de mettre à jour sa liste de prix. Cela concerne par ailleurs uniquement les « exploits zero day », qui sont des vulnérabilités exploitables dont le créateur du système n’a pas connaissance.
Si Apple a connaissance d’une faille, alors elle n’intéresse plus Crowdefense, car Apple va la corriger. Crowdefense ne pourra ensuite plus la transformer en logiciel espion fonctionnel.
En effet, l’activité de Crowdefense est controversée. La startup rachète des failles exploitables aux chercheurs en cybersécurité, puis les transforme en logiciel espion, pour enfin les revendre, souvent à des agences gouvernementales, comme le FBI.
Apple se résigne ?
Ce type d’entreprise est donc en concurrence directe avec Apple sur sa propre sécurité, et l’empêche de réparer certaines vulnérabilités en les accaparant, puis en en faisant un usage commercial. En même temps, Apple ne peut pas s’aligner sur les prix proposés, qui vont jusqu’à 7 millions de dollars pour une faille iOS globale, et jusqu’à 5 millions pour un exploit iMessage. Ici, les prix affichés sont selon TechCrunch en dessous du marché. Dans ce domaine, il est très probable que des arrangements confidentiels se chiffrent à plusieurs dizaines de millions de dollars. Apple peut proposer de son côté jusqu’à 2 millions de dollars « seulement ».
Les chiffres proposés par ce genre de Startup pour racheter une vulnérabilité continuent par ailleurs d’augmenter continuellement, grâce au renforcement de la sécurité chez les GAFAM. Les acteurs du secteur sont d’accord pour dire qu’il est de plus en plus difficile de trouver une faille. Auparavant, un seul chercheur pouvait être en mesure d’y arriver, mais dorénavant, cela nécessite une équipe de plusieurs personnes.
