Revendeur de failles 0-day, Zerodium avait en quelque sorte lancé son business en mettant en jeu une prime d'un million de dollars pour un jailbreak à distance d'iOS 9. En début de mois, cette start-up dans la sécurité informatique a annoncé un vainqueur.
Une équipe de hackers est ainsi parvenue à proposer un ou des exploits permettant de compromettre un iPhone 6 équipé d'iOS 9.1 et 9.2 bêta depuis la consultation d'une page Web avec le navigateur Safari ou Google Chrome. Une technique de jailbreak qui garde sa part de mystère.
C'est que Zerodium à quelques clients à satisfaire en priorité comme des agences gouvernementales, des entreprises dans le domaine de la défense, technologie et de la finance. Certaines n'hésiteraient pas à consentir un abonnement d'au moins 500 000 $ par an pour accéder à des exploits.
Aujourd'hui, Zerodium joue une nouvelle fois les perturbateurs - et s'offre un nouveau coup de pub - en publiant une grille tarifaire. À la manière d'un tableau de Mendeleïev, cette grille tarifaire donne la teneur des prix d'acquisition de 0-day auprès de chercheurs en sécurité tiers. Il n'est plus question d'un million de dollars mais jusqu'à un demi-million de dollars et toujours pour un jailbreak à distance d'iOS.
Les prix sont un cran en dessous pour Android et Windows Phone avec jusqu'à 100 000 dollars. Les systèmes d'exploitation mobiles sont loin d'être les seuls concernés. On retrouve les attaques à distance depuis les navigateurs Web avec d'abord Google Chrome, Flash Player, Adobe PDF Reader, les antivirus… En fonction des cas, ce sera de 5 000 à 80 000 dollars :
Pour chaque 0-day, il devra s'agir d'une exclusivité réservée à Zerodium dont on imagine qu'elles seront principalement par la suite des exclusivités pour ses propres clients. La NSA sera-t-elle preneuse ?
