Avis aux hackers et chercheurs en sécurité. Zerodium pérennise une très grosse somme pour un jailbreak à distance (et untethered) d'iOS 10 : 1,5 million de dollars (près de 1,4 million d'euros). Pour se faire connaître l'année dernière, cette start-up de cybersécurité avait mis en jeu la somme (remportée) de 1 million de dollars pour le jailbreak à distance d'iOS 9 mais uniquement dans le cadre d'une offre limitée dans le temps.
La nouvelle proposition intervient alors que Apple a mis en branle un programme de bug bounty pour iOS et iCloud. Seulement sur invitation, il promet une récompense maximale de 200 000 dollars pour la découverte de failles majeures, et en l'occurrence dans les composants du firmware Secure Boot. Ce pourrait être l'une des raisons de la surenchère de Zerodium.
La question éthique entre en jeu. Zerodium se présente comme une plate-forme premium pour l'achat d'exploits 0-day fonctionnels et se concentre sur les vulnérabilités les plus critiques. Ses clients sont des agences gouvernementales, des sociétés dans le secteur de la défense, technologie et de la finance. Qu'advient-il d'un exploit vendu ? En tout cas, pas de patch d'Apple ou autres pour tout le monde.
Zerodium n'a pas revu à la hausse ses récompenses que pour Apple et iOS 10. C'est une hausse de plus grande ampleur, y compris pour un jailbreak à distance d'Android 7.x et 6.x, même si la somme en jeu n'atteint " que " 200 000 dollars. Ci-dessous, les principaux changements dans la grille tarifaire avec les nouveaux prix en gras :
L'augmentation du prix des achats serait en corrélation avec le renforcement de la sécurité tant pour iOS 10 que Android 7. Par ailleurs, soulignons bien qu'il est question de jailbreak à distance et non en local. Une tâche ardue.
